月亮链 月亮链
Ctrl+D收藏月亮链

MAKE:权限攻击:DAO Maker再次被黑事件分析_CryptoMarketAds

作者:

时间:1900/1/1 0:00:00

北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。

在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。

Beosin:Ara项目被攻击的根本原因是合约中处理权限存在漏洞:6月19日消息,Beosin Alert发推称,Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约,它没有限制从调用者转移的用于交换的资金。[2023/6/19 21:46:59]

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

特朗普把“居家隔离令”权限交给州长来决定:美国总统特朗普当地时间4月3日在白宫新冠肺炎疫情简报会上再次表示,他反对发布全国性的“居家隔离令”。当被问及是否赞成美国国家过敏症和传染病研究所主任安东尼·福奇关于所有州实施“居家隔离令”的提议时,特朗普回答称,“我把这个交给州长来决定。州长知道他们要做什么。”(CNN)[2020/4/4]

攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:

分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

声音 | John McAfee:仅拿到底层访问权限没有用:今日,针对Bitfi钱包能够被黑一事,John McAfee继续作出回应称:“黑客生成获得了底层访问权限,但仍无法对程序进行任何编写或更改。这就像拿着牙医证书去核电站工作一样。你能从钱包里拿走钱吗?你不能。这才是关键。”[2018/8/3]

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

标签:MAKEALLDRAGONOMAmaker币什么意思trustwallet钱包钱不见了DRAGONKINGCryptoMarketAds

狗狗币价格热门资讯
数字资产:纽约梅隆银行为其数字资产部门聘请三名高管_数字资产交易平台

据TheBlock9月28日消息,纽约梅隆银行宣布为其数字资产团队聘请了三名高级员工。这三名高管将填补该公司新设立的职位,以此推动其加密活动.

1900/1/1 0:00:00
比特币:推特宣布上线打赏功能 支持比特币交易引发关注_SYNC

来源:财联社作者:史正丞当地时间周四,推特发布官方公告称,即日起在iOS客户端上线已经测试数月的打赏功能,除了常规支付工具外,这项功能也支持通过比特币支付.

1900/1/1 0:00:00
区块链:2021年区块链服务网络(BSN)全球合作伙伴大会在杭成功举办_BIKI

为贯彻加快推动区块链技术和产业创新发展的重要指示。2021年9月26日,以“慧聚生态,行以致远”为主题,由杭州市拱墅区人民政府、区块链服务网络发展联盟主办,中国移动通信集团设计院有限公司、中国银.

1900/1/1 0:00:00
元宇宙:胡安谈元宇宙的概念、愿景以及构建_元宇宙设计类专业

元宇宙,被越来越多的人所提及和讨论,不同的人对元宇宙的定义和看法也不尽相同,胡安也在近期的演讲中谈及了元宇宙的概念、愿景以及构建。 本文将以第一人称的方式阐述,胡安演讲的主要内容.

1900/1/1 0:00:00
比特币:比特币成为萨尔瓦多官方货币后,数千人上街抗议?_busd币历史最高价

9月7日,萨尔瓦多比特币法正式生效,成为了世界上第一个采用比特币作为法定货币的国家,就在新法生效的一周后,数千名抗议者走上了街头.

1900/1/1 0:00:00
数字资产:泰国金融科技初创公司Fraction将房产股权代币化出售给小投资者_区块链存证证件

据NikkeiAsia9月20日消息,泰国金融科技初创公司帮助业主分割他们在房地产中的股份,进行代币化,然后以低至5000泰铢的价格将这些小部分股权出售给小投资者.

1900/1/1 0:00:00