USDT第三方支付

菜宝钱包（caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

2021年3月5日，PAID Network遭受了由于私钥治理不善而引起的 "铸币 "攻击。

攻击者使用署理合约私钥，将原先经由CertiK审计的PAID合约代码偷换，添加了销毁（burn）和铸币（mint）的功效函数。

由于PAID代币已达上限，攻击者先销毁（burn）了6000万枚PAID代币，然后再重新铸造了59,471,745枚PAID，并通过Uniswap出售。

CertiK团队第一时间和PAID Network团队相同观察，确认了原代码并无破绽，攻击事宜是由私钥泄露导致的。现在CertiK团队仍无法确认私钥泄露的缘故原由，但已经可以将整个攻击历程还原。

PAID事宜时间线

2021年3月5日，PAID遭受了持续约30分钟的攻击。

通过链上剖析，CertiK团队总结了攻击的时间线及操作步骤如下：

第一步：合约所有权被转移给了攻击者，此时攻击者在获得私钥后就已经完全获得了署理合约的控制权。

第二步：攻击者行使署理更新合约，添加了销毁（burn）和铸币（mint）的功效函数。

第三步：攻击者销毁（burn）了6000万枚PAID，留出铸币空间。

usdt支付接口

菜宝钱包（www.caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

第四步：攻击者最先铸币，并向Uniswap推销PAID代币以换取以太币。

最后，本次事宜并没有攻击智能合约的代码自己，而是通过某种渠道获得了署理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality （模糊功效）以及其他章节强调了PAID合约中央化的问题。

总结

2021年3月5日，攻击者获得PAID署理合约私钥，替换原有代码，添加了销毁（burn）和铸币（mint）的功效函数。

攻击者之后销毁了6000万枚PAID代币，留出铸币空间。

最后，铸造了59,471,745枚PAID，并通过Uniswap出售了2,401,203枚代币。

客观来看，本次攻击事宜中攻击者并没有找到任何原合约的破绽，而是直接获得了署理合约私钥。

当合约的可升级性作为项目的预期功效而存在时，它在智能合约中确实有其存在的价值。

而这种类型的功效要求合约所有者以及部署者在确保代码基本平安的同时，同样必须保证私钥的平安。

CertiK将会在未来更多地强调并关注中央化及私钥珍爱等相关问题。

复制下方链接至浏览器，查看CertiK于2021年1月24日为PAID Network出具的审计报告：