黑客攻击:区块链安全公司慢雾股份对近期 DAO Maker 漏洞利用的分析 – Crowdfund Insider

广告midbar
广告midbar
广告midbar
广告midbar

SlowMist,专注于区块链生态系统安全,据报道服务过火币、OKEx、币安、imToken(近“一千个商业客户”),透露 DAO制作者的归属系统最近被黑了。

慢雾科技在一份事件报告中证实,DeRace Token(DERC)、Coinspaid(CPD)、Capsule Coin(CAPS)、Showcase Token(SHO)“都使用了Dao Maker的归属系统,当持有者发行时DAO Maker归属合约受到攻击(DERC)在DAO Maker中,即DERC归属合约参与者的归属系统存在一个漏洞:Init Initialization未经认证,攻击者初始化了init的关键参数,同时改变了owner,然后盗取了token通过 EmergencyExit 并将其交换为 DAI。”

正如慢雾所指出的那样,攻击者“最终获利近 4 万美元”。

区块链安全公司还提到,黑客“利用归属合约中的漏洞,紧急退出归属合约中的代币”。

正如慢雾科技编写的一份报告中提到的,以下是一个简短的分析:

  • 执行归属合约合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2“反编译”得到如下信息:
    • 归属合约中的init函数(函数签名:0x84304ad7)“不对调用者进行身份验证,黑客通过调用init函数成为归属合约的所有者。”
    • Owner可以“调用归属合约中的emergencyExit函数进行紧急提款”。

相关合约地址:

以DERC为例:

委托代理合同:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

归属执行合同:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址:
0x2708cace7b42302af26f1ab896111d87faeff92f

正如慢雾指出的那样:

“以同样的方式攻击其他归属合约,转移以下代币”:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker 自称是“治理技术、数据支持的资金和机构链上产品的领导者”,在 3 年 2021 月 1 日指出,首先,“只有 (2) DeRace (3) 的既得公开销售代币) Showcase (4) Ternoa (XNUMX) Coinspaid 受到影响。”

DAO Maker 团队证实,其他加密代币不受影响。 他们还提到他们的索赔门户“由三家公司审计”。

正如 3 月 XNUMX 日的更新中提到的:

“今天,具有 0% 燃烧率的索赔门户的合同经历了一次攻击。 授予 SHO 参与者的代币被盗。 所有受影响项目的代币和智能合约都是安全的。 该漏洞发生在我们的 4 个声明门户中。”

DAO Maker 的更新进一步指出:

“我们的下一步行动:在短期内,作为对情况进行分类的一部分,我们将停止所有涉及客户和客户资产托管的智能合约操作。 我们将采用类似于 Polkastarter 和大多数其他启动板的方式...... 我们将只提供代币发行,而不提供任何形式的抵押、门户或桥梁。 这消除了任何此类事件再次发生的可能性。 我们的首要任务是我们的社区和我们的生态系统项目。 我们采取这一步骤是为了他们的最佳利益。 只有发射。”

他们说:

“我们正在市场上获取代币,以 (1) 确保 SHO 参与者在未来版本中获得代币,以及 (2) 支持今天受影响的项目。 我们持续购买以补充即将发布的受影响代币的一个附带结果是,它们的价格大多已恢复到黑客攻击前的水平。”

他们得出结论:

“最后,最重要的是:

  • 受影响的项目基本上和以前一样强大
  • 他们的代币或合约中没有漏洞
  • 发行的代币不是铸造的,而是公开发售的代币(无论如何都会在以后进入市场)”

新闻来源

广告底部
广告底部
广告底部
广告底部

没意见