PAID Network kompromittierter Mint-Schlüssel
PAID Network hatte 27 Mio. $+ geminted nach kompromittiertem Deployer-Schlüssel; Angreifer dumpte ~2,5 Mio. für 3 Mio. $ vor Pause. PAID fiel ~85 %.
- Datum
- Opfer
- PAID Network
- Chain(s)
- Status
- Teilweise zurückerlangt
Am 5. März 2021 wurde der Deployer-/Mint-Schlüssel von PAID Network kompromittiert und verwendet, um den PAID-Token neu zu minten und etwa 59 Millionen PAID an Angreifer-Adressen auszugeben. Etwa 2,5 Mio. PAID wurden für ~3 Mio. $ gedumpt, bevor das Team pausierte und den Token migrierte. Nominaler geminteter Wert war ~27 Mio. $+; realisierter Diebstahl ~3 Mio. $. PAID fiel ~85 % und der Vorfall wurde anfangs als Insider-Rug vermutet, bevor er einem Schlüsselkompromiss zugeschrieben wurde.
Was geschah
Der PAID-Token-Vertrag behielt die Mint-Autorität auf einem einzigen Schlüssel. Dieser Schlüssel wurde kompromittiert; der Angreifer mintete ~59 Mio. PAID und verkaufte ~2,5 Mio. in Liquidität für ~3 Mio. $, bevor der Vertrag pausiert und eine Token-Migration/Snapshot Inhaber entschädigte.
Warum es wichtig ist
PAID Network ist ein früher, prominenter Vorfall mit "unbegrenzter Mint-Autorität auf einem einzigen Schlüssel" und ein Lehrbuchfall der Schlüsselkompromiss-vs-Insider-Rug-Ambiguität (Grand Base, Snowdog). Die Minderung ist der meist wiederholte Rat des Katalogs: Mint-Autorität muss aufgegeben oder hinter Multi-Sig + Timelock sein; ein einzelner Mint-Schlüssel ist eine geladene Waffe, die auf jeden Inhaber gerichtet ist, egal ob der Abzug von einem Dieb oder dem Gründer gedrückt wird. Die Migration/Snapshot-Wiederherstellung zeigt auch die spätere Standard-Token-Emittenten-Behebung, die später von PlayDapp und anderen verwendet wurde.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-paid-network-hack-march-2021
- [02]altcoinbuzz.iohttps://www.altcoinbuzz.io/finance-and-funding/real-exploit-or-rug-pull-paid-network-attack/
- [03]rekt.newshttps://rekt.news/paid-rekt