買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > FTX > Info

AOM:權限攻擊:DAO Maker再次被黑事件分析_區塊鏈

Author:

Time:1900/1/1 0:00:00

北京事件9月4日,NFT賽馬項目DeRace受到黑客攻擊,在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊,導致400萬美元的損失。

在此之前,北京時間8月12日,DAOMaker就已遭到類似黑客攻擊,也是由于權限管理不當受到攻擊,損失超過700萬美元。累計已因為類似的權限管理不當問題,損失了超過1000萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

MagicEden:疑似存在SOL漏洞可竊取Phantom錢包資產,提醒用戶撤銷可疑鏈接權限:8月3日消息,Solana生態NFT市場MagicEden發推稱,疑似存在一個SOL漏洞可以竊取Phantom錢包內資產。提醒用戶進行以下設置保護資產:1.進入Phantom設置;2.受信任的應用程序;3.撤銷任何可疑鏈接的權限。[2022/8/3 2:55:00]

一、事件分析

攻擊者以相同的攻擊手法進行多次攻擊,以DeRace?Token(DERC)被攻擊進行分析:

推特用戶:鏈上期權協議Hegic疑似存在管理員權限過大問題:推特用戶Karim Helmy表示,鏈上期權協議Hegic似乎過于中心化,合約可以被所有者操縱隱含波動率。簡單說合約所有者可以設置不合理的隱含波動率參數,將資金池里的全部資金耗盡。據DeBank數據顯示,Hegic目前有5200萬美金鎖倉量。[2020/11/20 21:27:45]

通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現,該合約只是起到代理的作用,只有一個fallback函數,將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

逾千名推特員工擁有內部權限,可協助黑客入侵帳戶:兩位推特前員工透露,截至今年年初,共有超過 1000 多名員工員工和承包商可以使用內部工具更改用戶帳號設置,并將控制權提供給他人。這使得防范上周的大規模黑客攻擊變得更加困難。推特公司和美國聯邦調查局正在調查這起黑客入侵事件。推特拒絕對這一數字發表評論,也不肯透露具體數字是否在此次被黑事件發生前有所下降。但該公司表示,正在物色新的安全主管,希望加強系統安全,并培訓員工防范外部攻擊。(路透)[2020/7/24]

同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同,但是都是用的相同的智能合約來將發來的請求!。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

黑客通過發送函數簽名為0x84304ad7函數給0x2fd6,在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中,似乎并沒有對msg.sender的身份進行確權操作。因此,使得攻擊者成為0x2fd6的owner,隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數,進行緊急提款。

本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的,因此攻擊者依次使用相同的攻擊手法進行攻擊,最后兌換成了DAI,攻擊者最終獲利近400萬美金。

這已經是DaoMaker多次受到攻擊,雖然聲稱經過了多家不同安全公司的審計工作,但是其安全狀況使人擔憂。

二、安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:GIC區塊鏈DAOAOMMAGIC幣的前景如何區塊鏈技術通俗講解簡書Tsuki DAOAOM價格

FTX
PRA:融資新聞丨區塊鏈公司Pravica獲得瑞士區塊鏈風投公司CV VC投資,旨在增強通信行業安全性_SPRAY

位于開羅的區塊鏈初創公司Pravica已從瑞士風險投資公司和孵化器CryptoValleyVentureCapital(CVVC)籌集到一筆未公開的直接投資.

1900/1/1 0:00:00
CASH:ECC、Protocol Labs、Filecoin基金會、以太坊基金會將合作開發Halo 2_kcash幣的價值在哪里

巴比特訊,ElectricCoinCo.已經與ProtocolLabs、Filecoin基金會以及以太坊基金會達成協議,以探索Halo的研發,包括如何在各自的生態系統中使用該技術.

1900/1/1 0:00:00
NFT:ENS開發人員:OpenSea疑似出現轉賬錯誤,導致約價值10萬美元NFT丟失_ENS

9月9日,NFT交易平臺OpenSea用戶、以太坊域名主要開發人員NickJohnson爆出該平臺疑似存在漏洞,導致其賬戶下域名被引入銷毀地址.

1900/1/1 0:00:00
數字人:范一飛談數字貨幣:既不完全按照賬戶去管理也不能照搬紙幣去要求_數字人民幣怎么把錢轉到銀行卡里

據新京報消息,中國人民銀行副行長范一飛表示,下一步,央行將堅持開放包容原則,從供需兩方面發力,組織持續優化數字人民幣底層業務能力和基礎技術平臺,積極對外賦能,共同打造數字人民幣生態體系.

1900/1/1 0:00:00
BTC:比特幣法生效后的薩爾瓦多,現在是個什么情況?_HIV

/本期主角:薩爾瓦多和比特幣/誰能想到,原本沉浸在BTC“5字頭快樂”的貪婪玩家們,9月7日卻陷入了毫無征兆的急跌恐慌中.

1900/1/1 0:00:00
SLOT:研究 | 如何通過委員會平均分配一個區塊的MEV?_LOT

來源|?ethresear.ch作者|?frankdfr原標題:《委員會驅動MEV均勻分配》非常感謝JustinDrake、BarnabèMonnot、Casper和其他以太坊基金會研究團隊的成.

1900/1/1 0:00:00
ads