PEX:DAO Maker被盜事件分析_0X0幣

Author：

Time：1900/1/1 0:00:00

8月12日，根據DAO Maker電報群用戶反饋，該項目疑似遭到黑客攻擊，價值700萬美元的USDC被黑客提取至未知地址。團隊經過分析后，發現該事件的起因是私鑰泄露或者內部人士所為。

通過我們的交易分析系統（https://tx.blocksecteam.com）我們發現，攻擊的過程非常簡單。攻擊交易的hash是：

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

涉及到的地址：

0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者錢包

ApeX提議BitDAO使用200萬USDC以折扣價購買APEX Token:11月18日消息，去中心化衍生品協議ApeX于BitDAO發起社區討論，建議BitDAO使用200萬枚USDC以折扣價購買1100萬枚APEX Token，并承諾兩年內不進行出售。200萬枚USDC將被用于在ApeX上添加流動性等。

ApeX表示，未來將于BitDAO探索進一步合作的空間，包括未來在Bit Network上部署ApeX Pro、在ApeX生態中部署BIT Token的其他用例以及可能將BIT Token作為ApeX原生Token等。[2022/11/18 13:22:33]

0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX，攻擊者合約

MakerDAO發起有關添加UNI-V2-LINK-ETH為抵押品等執行投票:據官方博客消息，2月13日，MakerDAO治理促進者和MakerDAO智能合約領域團隊已將一系列執行投票納入投票系統。投票內容如下：1.將UNI-V2-LINK-ETH（UniswapV2 LINK-ETH LP代幣）添加為抵押品；2，將UNI-V2-UNI-ETH（UniswapV2 UNI-ETH LP代幣）添加為抵押品；3.設置UNI-A、AAVE-A、COMP-A、LINK-A、WBTC-A和YFI-A債務上限即時訪問模塊參數。[2021/2/13 19:41:03]

0x0eba461d9829c4e464a68d4857350476cfb6f559：中間人

MakerDAO官方：Dai發行量突破11億枚:據MakerDAO官方消息，穩定幣Dai供應量突破11億枚，創下新高。[2020/12/17 15:30:47]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c：受害合約創建者（也是攻擊者）

攻擊者XXX （0x1c93290202424902a5e708b95f4ba23a3f2f3cee）調用受害者錢包合約(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函數查詢用戶余額，然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作，因此通常需要對調用者的身份做校驗。我們通過分析發現，攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。

動態 | Synthetix推出GrantsDAO來資助社區項目:基于以太坊的合成資產發行平臺Synthetix官方宣布，將推出GrantsDAO來資助社區項目。據悉，GrantsDAO的大部分資金將來自Synthetix基金會，但捐款對公眾開放。（Cryptobriefing）[2020/2/6]

這里的問題就變成為什么攻擊者能具有相應的權限？通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下：

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6