買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DAI > Info

DAO Maker:權利的游戲 :DAO Maker 被黑分析_Crypto Makers Foundation

Author:

Time:1900/1/1 0:00:00

2021 年 08 月 12 日,據慢霧區消息,加密孵化機構 DAO Maker 疑似遭受黑客攻擊,導致合約大量 USDC 被轉出。慢霧安全團隊第一時間介入分析,并將分析結果分享如下。? ?

在本次攻擊中,攻擊者部署并開源了一個攻擊合約 (0x1c) 用于快速批量的從 DAO Maker 受害合約 (0x41) 中竊取資金。

攻擊者地址 1:

0xd8428836ed2a36bd67cd5b157b50813b30208f50

攻擊者地址 2:

0xef9427bf15783fb8e6885f9b5f5da1fba66ef931

攻擊合約:

0x1c93290202424902a5e708b95f4ba23a3f2f3cee

ConsenSys新服務條款:保留在需要時預扣稅款的權利:5月18日消息,1inch聯合創始人AntonBukov發推表示,區塊鏈軟件技術公司ConsenSys于4月份更新服務條款,其中4.3Taxes一項表示旗下產品“根據適用法律的要求,各方將負責確定并支付所有稅款和其他政府費用和收費...我們保留在需要時預扣稅款的權利。”[2023/5/18 15:10:04]

DAO Maker 受害合約:

0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49

DAO Maker 受害合約 deployer:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971c

DAO Maker 受害合約 admin:0x0eba461d9829c4e464a68d4857350476cfb6f559

公告 | 火幣:IKE項目與火幣無任何關系 將保留追究其法律責任的權利:據火幣官方消息,近期IKE項目相關人員冒用火幣及火幣印尼品牌進行不實宣傳,該行為嚴重損害了火幣的合法權益,并造成不良社會影響,火幣對此鄭重聲明如下:

火幣與IKE項目無任何合作或往來,也從未授予其使用“火幣”或帶有“火幣”字樣的權利,對此,火幣將保留追究侵權人法律責任的權利。

早在11月5日,火幣印尼就已發公告表示,IKE僅僅在火幣印尼進行了上幣資料的提交申請,沒有上幣行為,此外與火幣印尼無任何關系。

請廣大用戶提高警惕,保護好個人資產安全,謹防上當受騙!如用戶再有發現此類情況,請及時向當地司法機關進行報案或向當地監管機構進行舉報。

為打擊此類詐騙行為,火幣已上線“官方驗證通道”,用戶在PC頁面和APP端進入“幫助中心”頁面,在“官方驗證通道”界面可驗證郵箱、電話、微信、QQ等是否為火幣官方渠道。詳情見原文鏈接。[2019/12/4]

本次攻擊與往常攻擊不同的是:DAO Maker 受害合約 (0x41) 未開源,而攻擊合約 (0x1c) 卻開源了。

動態 | No Borders宣布成功申請商標,商標權利包括區塊鏈等相關業務:據Globe Newswire消息,內華達公司No Borders, Inc.(OTC: NBDR)今天宣布,其已成功向美國專利商標局(USPTO)申請“No Borders Funding”商標,并于2019年7月2日收到了許可通知書(NOA)。該商標權利包括智能合約系統、區塊鏈、分布式賬本技術等領域的資產和投資收購、咨詢、咨詢和開發等。[2019/7/12]

從上圖開源的攻擊合約以及鏈上記錄我們可以看出:?

1. 黑客調用攻擊合約 (0x1c) 的 h 函數,h 函數會循環調用 f 函數,f 函數通過 DAO Maker 受害合約的 0x4b4f892a 函數獲取普通用戶在受害合約 (0x41) 中的 USDC 存款數量。

扎克伯格年度反思:數字貨幣或許可以重新把權利從中央集權體系中交還給個體:社交媒體平臺Facebook創始人、董事長兼首席執行官馬克?扎克伯格發布了他的2018個人年度挑戰計劃。扎克伯格在年度反思中談到了互聯網公司分權和集權的問題,他表示最初很多人進入互聯網,是因為相信互聯網將會把更多的權利放到個體手上,但由于大的互聯網開始和當局合作,幫助他們收集個人信息,這使人們對這些公司的信心開始動搖。對于這種現狀,他認為數字貨幣或許可以重新把權利從中央集權體系中交還給個體,他表示“有興趣深入研究這些技術的正面和負面,以及如何最好地將它們用于我們的服務。”[2018/1/5]

2. 函數 h 接著調用 DAO Maker 受害合約 (0x41) 的withdrawFromUser(0x50b158e4) 函數,傳入用戶存款的用戶地址、USDC 地址與需要提款的數量。

3. 隨后 DAO Maker 受害合約 (0x41) 將合約中的 USDC 轉移至攻擊合約中 (0x1c)。

通過以上行為分析我們可以發現:攻擊合約 (0x1c) 調用了受害合約 (0x41) 的? withdrawFromUser 函數,受害合約 (0x41) 就將合約管理的資金直接轉給攻擊合約 (0x1c) 。我們直接反編譯受害合約 (0x41) 查看 withdrawFromUser 函數進行簡單分析:

通過反編譯的代碼我們可以發現,此函數是有進行權限檢查的,只有 DAO contracts 才能調用此函數轉移用戶的資金。但攻擊合約? (0x1c) 明顯不是 DAO 合約,因此其 DAO 合約必然是被攻擊者替換過的。

通過鏈上分析我們可以清楚的看到:

1. 受害合約部署者 (0x05) 在部署受害合約 (0x41)? 后于 UTC 4 月 12 日 08:33:45 將 0x0eba461d9829c4e464a68d4857350476cfb6f559?地址設置為了管理員角色:

Tx Hash:

0xa1b4fceb671bb70ce154a69c2f4bd6928c11d98cbcfbbff6e5cdab9961bf0e6d

2. 隨后受害合約部署者 (0x05) 通過調用 revokeRole 函數放棄了受害合約 (0x41) 管理權限:

Tx Hash:?

0x773613398f08ddce2cc9dcb6501adf4f5f159b4de4e9e2774a559bb1c588c1b8

3. 而管理員則在 UTC ?8 月 12 日 01:27:39 將 DAO 合約設置為了攻擊合約 (0x1c) :

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

因此攻擊者才得以借助此攻擊合約 (0x1c) 將受害合約 (0x41) 中用戶的資金盜走。目前被盜資金被兌換成 ETH 轉移至攻擊者地址 2 (0xef)。

本次攻擊可能源于 DAO Maker 受害合約的管理員私鑰泄漏。攻擊者竊取私鑰后將受害合約的 DAO 合約替換為了攻擊合約,攻擊者通過替換后的合約轉走了合約中的用戶資金。而由于合約部署者在設置完合約管理員后就放棄的合約管理權限,因此目前項目方可能還無法有效的取回合約控制權。

Tags:DAOMAKEMakerDAO MakerSHIBDAO價格Crypto Makers FoundationMoon Maker Protoco

DAI
DEFI:從NFT、DeFi領域全景式看區塊鏈用戶行為_SquidGameDeFi

原文標題:《從NFT、DeFi來看區塊鏈用戶行為》下面的報告屬于區塊鏈用戶行為報告的新系列。DappRadar的一組報告旨在為用戶提供區塊鏈行業的不同視角,將傳統行為金融分析與區塊鏈標準和指標相.

1900/1/1 0:00:00
NFT:以太坊可能是過去20年來最好的投資_IDG

時間回到六年前,有多少人會覺得以太坊很性感?很多人最近在以太坊上的投資翻了一番。目前來看,以太坊可能是過去20年來最好的投資。以下就是原因。以太坊進行了大規模升級.

1900/1/1 0:00:00
BSP:區塊鏈DeFi貸款能否填補小企業的融資缺口?_BSPT價格

在現實世界中,我們傾向于通過目的來定義借來的錢。貸款以標簽開頭——家庭、大學、企業——并代表對有形目標的投資。我們希望我們的房屋增值;我們的學位以促進高薪工作;我們的業務要擴大.

1900/1/1 0:00:00
LYG:收購 Hermez 使 Polygon 成為最全擴容方案 其他 L2 如何接招?_OLY

至今沒有一個像 Polygon 一樣推出數量如此多的擴容方案。Polygon 以 2.5 億美元收購 Hermez 可能是迄今為止第二大的區塊鏈原生協議并購案,以太坊擴容方案 Polygon 也.

1900/1/1 0:00:00
PEN:那些發售NFT頭像的團隊 都賺了多少錢?_PETH價格

對于加密世界來說,2021 年的夏天是屬于 NFT 的。隨著猿猴、貓、企鵝等動物頭像 NFT 的爆火,越來越多的 DeFi 用戶甚至加密世界之外的人選擇進入 NFT 領域,大量新用戶的加入讓 N.

1900/1/1 0:00:00
區塊鏈:金色觀察|什么是zkopru?_KOP

以太坊基金會今日發布了以太坊目前資助支持的團隊名單,其中關于layer2擴容項里有重點提到了zkopru,這是一個綜合技術解決方案.

1900/1/1 0:00:00
ads