uspd
322 penayangan
4 Berdiskusi
Populer
Terbaru
Lihat asli
đ¨ Panggilan Kasus | Stablecoin USPD diserang oleh "bom tidur", kerugian mencapai jutaan dolar
đ¸ Inti Peristiwa
Menurut konfirmasi dari PeckShield dan lembaga lainnya, proyek stablecoin USPD baru-baru ini mengalami serangan "CPIMP" (perantara). Penyerang berhasil membajak proses inisialisasi proyek, menyisipkan kode jahat dalam keadaan tidur, dan mengaktifkannya beberapa bulan kemudian, secara ilegal mencetak 98 juta USPD dan mencuri sekitar 232 stETH, dengan total kerugian sekitar 1 juta dolar.
đ Analisis Metode Serangan
Menyebar lebih awal, merebut "mahkota": Pada tahap penyebaran proyek, penyerang memanfaatkan alat Multicall3 untuk lebih awal menginisialisasi kontrak perantara, sehingga secara diam-diam mendapatkan hak akses administrator tertinggi.
Menyisipkan "logika tidur": Penyerang menyamarkan logika peningkatan jahat sebagai kode kontrak normal yang sudah diaudit dan menyebarkannya bersamaan, logika ini tetap dalam keadaan tidur setelah penyebaran, menghindari pemeriksaan keamanan sebelum dan setelah peluncuran.
Bersembunyi selama beberapa bulan, tiba-tiba meledak: Setelah tim dan komunitas menurunkan kewaspadaan selama beberapa bulan, penyerang mengaktifkan logika tidur dari jarak jauh, menjalankan peningkatan jahat, dan dalam sekejap menyelesaikan pencurian besar.
đĄ Peringatan Keamanan Industri
Audit memiliki "zona buta waktu": Audit satu kali yang tradisional tidak dapat mempertahankan diri dari "ancaman berkelanjutan tingkat tinggi" yang memiliki rentang waktu hingga beberapa bulan. Kode yang "bersih" saat diaudit tidak berarti aman selamanya di masa depan.
Proses penyebaran adalah titik lemah yang fatal: Saat proyek paling rentan biasanya adalah saat penyebaran peluncuran. Proses penyebaran itu sendiri (seperti inisialisasi perantara) harus distandarisasi dan dilindungi dengan multi-tanda tangan.
Pemantauan berkelanjutan adalah hal yang tak terelakkan: Untuk proyek yang memiliki kemampuan peningkatan perantara, pemantauan abnormal selama 7Ă24 jam terhadap perilaku pemerintahan dan peningkatan kontrak harus dibangun.
#ćşč˝ĺ續ĺŽĺ ¨ #éŤçş§ćçťć§ĺ¨č #䝣çćťĺť #USPD
đ¸ Inti Peristiwa
Menurut konfirmasi dari PeckShield dan lembaga lainnya, proyek stablecoin USPD baru-baru ini mengalami serangan "CPIMP" (perantara). Penyerang berhasil membajak proses inisialisasi proyek, menyisipkan kode jahat dalam keadaan tidur, dan mengaktifkannya beberapa bulan kemudian, secara ilegal mencetak 98 juta USPD dan mencuri sekitar 232 stETH, dengan total kerugian sekitar 1 juta dolar.
đ Analisis Metode Serangan
Menyebar lebih awal, merebut "mahkota": Pada tahap penyebaran proyek, penyerang memanfaatkan alat Multicall3 untuk lebih awal menginisialisasi kontrak perantara, sehingga secara diam-diam mendapatkan hak akses administrator tertinggi.
Menyisipkan "logika tidur": Penyerang menyamarkan logika peningkatan jahat sebagai kode kontrak normal yang sudah diaudit dan menyebarkannya bersamaan, logika ini tetap dalam keadaan tidur setelah penyebaran, menghindari pemeriksaan keamanan sebelum dan setelah peluncuran.
Bersembunyi selama beberapa bulan, tiba-tiba meledak: Setelah tim dan komunitas menurunkan kewaspadaan selama beberapa bulan, penyerang mengaktifkan logika tidur dari jarak jauh, menjalankan peningkatan jahat, dan dalam sekejap menyelesaikan pencurian besar.
đĄ Peringatan Keamanan Industri
Audit memiliki "zona buta waktu": Audit satu kali yang tradisional tidak dapat mempertahankan diri dari "ancaman berkelanjutan tingkat tinggi" yang memiliki rentang waktu hingga beberapa bulan. Kode yang "bersih" saat diaudit tidak berarti aman selamanya di masa depan.
Proses penyebaran adalah titik lemah yang fatal: Saat proyek paling rentan biasanya adalah saat penyebaran peluncuran. Proses penyebaran itu sendiri (seperti inisialisasi perantara) harus distandarisasi dan dilindungi dengan multi-tanda tangan.
Pemantauan berkelanjutan adalah hal yang tak terelakkan: Untuk proyek yang memiliki kemampuan peningkatan perantara, pemantauan abnormal selama 7Ă24 jam terhadap perilaku pemerintahan dan peningkatan kontrak harus dibangun.
#ćşč˝ĺ續ĺŽĺ ¨ #éŤçş§ćçťć§ĺ¨č #䝣çćťĺť #USPD
Masuk untuk menjelajahi konten lainnya