DAO:權限攻擊：DAO Maker被黑事件分析_Weird Dao

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。北京時間8月12日，DAOMaker遭到黑客攻擊，大量用戶充值的USDC被轉出并換成約2261個以太坊，損失超過700萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。

CMS Strapi存在可接管Admin賬號權限等漏洞:4月23日消息，慢霧研究員IM_23pds發推表示，開源無頭CMS Strapi發布安全提醒，攻擊者可以利用已知漏洞接管Admin賬戶或RCE接管服務器權限。虛擬貨幣行業有大量項目方使用此產品，請立即升級。[2023/4/23 14:21:18]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析，其他的都是一樣的攻擊方式。

神魚：中心化Staking機構需復審下私鑰保管及有權限人員狀態，制定緊急事件預案:金色財經報道，Cobo聯合創始人兼CEO神魚發推表示，伴隨著上海升級的臨近，對于機構，尤其是提供中心化staking的機構，需要reviewer下私鑰保管方式及相關有權限的人員狀態，檢查下服務器日志，監控后續提現狀態，制定緊急事件預案。[2023/4/9 13:52:56]

通過交易記錄發現，DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易，將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1，這350名受害者地址以數組的形式傳入交易的inputdata。

伊朗已通過修訂法規放寬加密礦工獲得可再生能源的權限:7月29日消息，伊朗能源部已更改某些加密貨幣挖礦法規，以方便授權在該國持牌加密挖礦公司獲得可再生能源。持牌加密挖礦公司現在可以從全國各地以較低的價格購買由可再生能源生產的電力。

伊朗發電、輸電和配電公司（Tavanir）的官員Mohammad Khodadadi指出，到目前為止，礦業企業只能與位于同一省的可再生能源發電廠簽訂合同。使用清潔能源合法挖礦的伊朗公司將不會因使用該國電力網絡而被收取常規傳輸費。

伊朗政府還表示將對無牌加密礦工采取嚴厲措施，將對非法采礦活動的罰款提高400%。根據5月份發布的官方數據，伊朗政府已經查明并關閉了近7,000家非法鑄造數字貨幣的設施。（Bitcoin.com）[2022/7/29 2:46:19]

聲音 | EOS NewYork ：智能權限管理可確保賬戶安全:據meet.one報道，EOS NewYork 今日發文分享智能權限管理，通過創建安全模式權限以確保賬戶更加安全。用戶可以把 EOS 賬戶設為安全模式，用單一獨立的權限鎖定質押的 EOS，同時用戶仍可以無縫地享受 EOS 區塊鏈技術。權限管理是 EOS 區塊鏈最強大的功能之一。在 EOS 中，12 個字符的帳戶名稱是最重要的資產，并且是 token 所依賴的。[2019/7/16]

對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下：

可以看到只有msg.sender即：攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現：122天前合約部署人給現任管理員授權；

而后，一天前現任管理員創建攻擊合約XXX。

現任管理員給攻擊合約XXX授權。

隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC，將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作！！！攻擊者獲得現任管理員的控制權；?管理員創建了攻擊合約XXX并對其授權；DAOMakerExploiter1調用攻擊合約XXX獲利。因此，本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。二、安全建議SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：DAOMakerMAKEAOMWeird DaoMaker BasicMAKEUP幣AOM價格

DOGE