摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
Katana推出DAO收益管理工具Katana Treasury:金色财经消息,Solana生态风险收益协议Katana推出DAO收益管理工具Katana Treasury,它是专为DAO构建的用于收益生成、风险管理和分析的解决方案,可针对DAO的特定需求偏好进行定制。在决定分配策略后,Katana Treasury可创建一个金库来自动化DAO的需求,只需存入而无需主动管理,同时可提高资金透明度。[2022/5/24 3:37:32]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
支持波卡的去中心化组织PolkaDAO已拥有3400枚DOT:根据Web3基金会生态关系负责人JackPlatts的推特显示,支持跨链项目Polkadot的PolkaDAO已拥有34,000枚DOT(约合340万美元),该资金可用于开发、市场营销以及收购。支持跨链项目Polkadot的去中心化组织PolkaDAO已于去年5月正式上线。PolkaDAO是一个由社区主导的去中心化组织,任何人均可参与,通过提交对于Polkadot项目建设有益的提案参与其中。PolkaDAO的主要目标是资助小型社区项目。[2020/6/19]
动态 | 总部位于伦敦的银行Monolith宣布与Digix和MakerDAO建立合作关系:据cointelegraph报道,8月15日,总部位于伦敦的银行Monolith宣布与分布式金融公司Digix和MakerDAO建立合作关系。作为推动电子商务采用数字支付的一部分,DGX、DGD和DAI代币将可以加载到Visa借记卡上。[2019/8/17]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
Infura:大多数主网子系统恢复正常运行,重新启用核心帐户访问权限:Ethereum和IPFS的API服务供应商Infura对Ethereum Mainnet API服务暂时中断事件更新称,正在继续进行服务恢复工作。大多数主网子系统现在都恢复正常运行,但是官方仍在继续分类并检查每个子系统。Infura已重新启用了核心帐户的访问权限。目前,存档请求仍处于禁用状态,但我们希望不久后它们将再次可用。[2020/11/11 12:21:17]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。