NCE:DAO還安全嗎？Build Finance遭遇惡意治理接管，被洗劫一空！_DAOVC

今天2月15日，先祝大家元宵節快樂！團團圓圓每一天！

而在今天凌晨時分，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，風投DAO組織BuildFinance項目遭遇治理攻擊。關于本次攻擊，成都鏈安技術團隊第一時間進行了分析。

#1?事件概覽

據悉，BuildFinance是一個自我描述為“去中心化風險建設者”，其目標是通過獎勵代幣來激勵新項目。這個想法是用其原生BUILD代幣為項目提供資金，作為回報，這些項目將采用BUILD代幣來增加對它們的需求。此外，該項目由DAO維護，也就是由一個去中心化組織參與治理。

但是，黑客卻悄悄搞起事情，該項目遭遇攻擊者惡意治理接管，黑客通過獲得足夠多的投票成功控制Build代幣合約，在三筆交易中鑄造了超過10億的BUILD代幣，并耗盡了Balancer和Uniswap流動性池中的大部分資金。事發后，該項目團隊在推特建議用戶不要在任何平臺上購買BUILD代幣，項目團隊成員試圖與攻擊者進行直接對話，但對方似乎沒有興趣對話。

TRON DAO Reserve宣布將鑄造1.7億USDC:據官方消息，TRON DAO Reserve宣布，為了保護整個區塊鏈行業和加密貨幣市場，TRON DAO Reserve將在TRON鑄造170,000,000 USDC。[2022/11/13 12:59:21]

看來項目方又遇到了一位“任性”的黑客。下面，跟著我們來看一下事件具體分析過程。

#2?事件具體分析

Round1

通過對項目的交易追蹤，我們發現2022年2月12日BuildFinance?項目被攻擊者竊取了治理權限，接著向0xdcc8A38A地址分三次鑄造了超過10億的BUILD代幣。

DAO Maker社區：團隊疑似通過操縱治理投票篡改承諾的賠償流程:10月17日消息，DAO Maker針對2021黑客攻擊事件的處理方案的變更在社區引起爭議。此前報道，DAO Maker在2021年黑客攻擊事件后，將部分損失金額以USDR形式空投給受影響用戶，并承諾USDR可在1年鎖定期后以110%的比例兌換DAO Token。然而，DAOMaker在今年10月12日發起投票，其中“停止USDR贖回”的方案在今日獲得最高票通過，提案給出的理由是“大多數想要賣出的人已經使用USDR-USDC流動性池賣出，且此舉將維護現有的DAO Token持有者的利益”。對此，部分社區成員認為，此舉是在打著關照用戶的幌子推卸責任，當前的投票者多數沒有經歷過當時的黑客事件，并懷疑“參與投票的6個大額Token持有地址為團隊所有”。[2022/10/17 17:29:03]

然后0xdcc8A38A地址將這10億代幣通過UniswapV2:BUILD兌換將項目方的交易池掏空。

DAO平臺Molecule完成1300萬美元種子輪融資，Northpond Ventures領投:6月13日消息，為醫學研究項目募資的DAO平臺Molecule完成1300萬美元種子輪融資，Northpond Ventures領投，Backed VC、Shine Capital、Speedinvest以及前Coinbase CTO Balaji Srinivasan參投。

Molecule平臺是一個供研究人員上架代表知識產權的NFT項目的市場。目前該平臺上的項目包括紐卡斯爾大學關于分子衰老的研究，以及哥本哈根大學關于長壽的項目。這些項目通過DAO以穩定幣（如USDC）的形式獲得資金。（The Block）[2022/6/13 4:23:12]

觀察交易細節后，我們發現調用Build代幣合約mint函數鑄幣的地址也為0xdcc8A38A。

接著往下看，我們觀察下圖項目方的合約代碼發現調用mint函數的地址只能為governance地址。此時鑄幣的地址為0xdcc8A38A，也就是說合約現在的governance權限已經被0xdcc8A38A地址獲取了。

Decrypt推出媒體DAO PubDAO，后者將發行代幣推動自身發展:10月30日消息，區塊鏈媒體Decrypt宣布推出媒體DAO PubDAO。PubDAO由Decrypt和The Defiant、ACJR以及來自Friends with Benefits、Gitcoin、Collab.Land、Digitalax、API3等其他DAO貢獻者構建。

PubDAO類似于去中心化的美聯社，是去中心化的加密貨幣新聞網，計劃最終發展為由作家、編輯、攝影師、插畫家、廣告商和營銷人員組成的工會，帶來更好的貨幣化方式和更健康的生態系統。PubDAO即將發行代幣推動其發展，PubDAO成員可以通過質押和賺取治理代幣來為其內容報道做出貢獻。（Decrypt）[2021/10/30 6:21:17]

從代碼中可以看到原本的governance權限屬于合約的創建者即下圖的0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172地址。

AFT(阿凡提)將于5月3日20：00開啟DAO社區治理:官方消息，AFT(阿凡提)將于5月3日20：00開啟DAO鎖倉挖礦，DAO社區治理是AFT代幣的生態運用。據悉，AFT(阿凡提)的另一生態機槍池也會在未來一周內開啟。

AFT(阿凡提)已上MDEX白名單，并通過靈蹤安全審計，即將上線Bitkeep和TP錢包的熱點區。[2021/5/3 21:19:57]

我們不禁要問，那么governance權限是如何轉移到0xdcc8A38A上的呢？

Round2

通過排查，我們通過2020年9月4日的一筆交易發現了線索，攻擊者只有通過setGovernance函數才能竊取governance的權限。那么在這期間合約創建者0x2Cb037BD一定使用了setGovernance函數進行了權限轉移。

通過查找0x2Cb037BD地址的交易記錄可見，在同一天創建者使用了setGovernance函數。交易hash為0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過查找內部的Storage可見權限轉移給了0x38bce4b45f3d0d138927ab221560dac926999ba6地址而不是上述的0xdcc8A38A攻擊地址。交易哈希為：0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過繼續跟進0x38bce4b地址，發現是一個Timelock合約，而合約中可以調用build代幣合約函數的setGovernance函數只有executeTransaction函數。

我們跟進executeTransaction函數找到了其中的Storage。

從上圖可見0x38bce4b45f3d0d138927ab221560dac926999ba6地址將權限又轉移到了0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址，交易哈希為0x9a0c9d5d3da1019edf234d79af072c1a6acc93d21daebae4ced97ce5e41b2573，調用時間為2021年1月25日。

通過繼續跟進0x5a6ebeb6地址，在下圖可知在2022年2月9日由suho.eth發起的提案，0xdcc8A38A攻擊地址在2022年2月11日投票通過。在4天前將governance權限變更為0xdcc8A38A。

suho.eth發起的提案變更governance，投票設置的閾值較低導致提案通過，通過call調用將build合約的governance更改為0xdcc8A38A地址。

0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址部分代碼。

此地址獲取governance權限后，0xdcc8A38A地址通過build代幣合約的mint函數向本身鑄造了大約10億的build代幣，隨后去交易池掏空流動性。

獲取權限的流程圖為：

攻擊者利用類似的手法，從另外一個治理合約中轉走了該治理合約所持有的代幣資產。本次獲利共162個ETH、20014個USDC481405個DAI、75719個NCR約為112萬美元。

最后，成都鏈安提醒：DAO合約應該設置合適的投票閾值，實現真正的去中心化治理，避免很少的投票數量就使得提案通過并成功執行，建議可以參考openzeppelin官方提供的治理合約的實現。

Tags：DAOANCNCENANDAOVCYearnAgnostic FinanceStep FinanceImpossible Finance

KuCoin