以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Filecoin > Info

權利的游戲 —— DAO Maker 被黑分析_MAKE:Maker

Author:

Time:1900/1/1 0:00:00

2021年08月12日,據慢霧區消息,加密孵化機構DAOMaker疑似遭受黑客攻擊,導致合約大量USDC被轉出。慢霧安全團隊第一時間介入分析,并將分析結果分享如下。

攻擊對象

在本次攻擊中,攻擊者部署并開源了一個攻擊合約(0x1c)用于快速批量的從DAOMaker受害合約(0x41)中竊取資金。

攻擊者地址1:

0xd8428836ed2a36bd67cd5b157b50813b30208f50

攻擊者地址2:

0xef9427bf15783fb8e6885f9b5f5da1fba66ef931

攻擊合約:

數字權利倡導組織:加密稅收規則修正案從根本上誤解了加密貨幣的運作方式:金色財經報道,數字權利倡導組織“為未來而戰”今天表示,不會支持參議員Mark Warner、Rob Portman及Kyrsten Sinema制定的加密稅收規則修正案。據該組織稱,擬議的修正案得到了“徹底的反對”,作為該法案的可能解決方案,該修正案“從根本上誤解了加密貨幣和權力下放的運作方式”。該組織稱,原始條款和Portman修正案從根本上誤解了去中心化技術是去中心化的。他們所制定的法律完全行不通,要求這個生態系統中的許多人產生他們從未擁有也無法訪問的數據。該組織聲稱,拜登政府和該修正案的民主黨支持者“都沒有在去中心化技術方面做足功課”。[2021/8/7 1:39:57]

0x1c93290202424902a5e708b95f4ba23a3f2f3cee

Maker基金會再次呼吁社區積極投票:參與治理不僅是權利 也是責任:Maker基金會昨日于官方博客發文稱,在接下來的三個月里,Maker基金會與社區將圍繞“權力下放”主題進行幾次重要的治理討論。Maker基金會再次強調社區參與投票的重要性:成功的權力下放不僅取決于社區對核心治理目標的持續承諾,還取決于更多用戶的參與。更多的參與者對于(MakerDAO)做出明智的決策和實現充分的自治可持續性至關重要。在任何選舉中,選民參與意愿不高都可能導致無法得出最理想的投票結果,而對于中心化工作來說,這尤其具有挑戰性。一個由社區管理的系統需要善意的社區參與才能成功。參與Maker治理過程不僅是MKR持有者的權利,也是一種責任。[2020/4/2]

DAOMaker受害合約:

謝翔:隱私是人類的基本權利,不分鏈上和鏈下,都是同等重要:在今日的《金色深核》線上直播中,針對“ 現在對計算開銷和存儲開銷大多都是預設,如果利用鏈來實現應用,那怎樣判斷需要一條什么樣的區塊鏈,輸出能力、算力多少可行?是保護區塊鏈鏈上的隱私更重要,還是保護鏈下的隱私更重要?”PlatON 算法科學家謝翔表示鏈的能力評估其實很難的一個事情,并不是簡單的從tps或者開銷層面能夠說清楚的事。我們現在碰到更多的問題反而是穩定性,激勵機制和治理機制等等。區塊鏈給了密碼學技術一個充分應用的平臺,在區塊鏈上面的問題解決之后,才有可能集成更多的應用。隱私是人類的基本權利,不分鏈上和鏈下,都是同等重要。[2020/3/11]

0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49

動態 | 法國新加密法授予區塊鏈企業開設銀行賬戶的權利:法國新加密法“PACTE”法案將授予區塊鏈初企開設銀行賬戶的權利,前提是他們選擇受到監管。AMF金融科技創新和競爭力部門負責人Domitille Dessertine表示,加密參與者對銀行業務需求的“強烈反饋”與法國當局消除“銀行業關系”的堅定共識相匹配。法國政府和立法者“非常支持這項權利,只要你受到監管,就有權開設銀行賬戶。”Dessertine解釋說,該框架將在執行法令公布后開始運作,這將在今后幾個月內實施。此外,新規定還鼓勵法國私募股權或風險投資基金更多地參與ICO token,允許它們最多拿出其管理資產(AUM)的20%投資加密資產。(Coindesk)[2019/4/29]

DAOMaker受害合約deployer:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971c

DAOMaker受害合約admin:0x0eba461d9829c4e464a68d4857350476cfb6f559

攻擊細節

本次攻擊與往常攻擊不同的是:DAOMaker受害合約(0x41)未開源,而攻擊合約(0x1c)卻開源了。從上圖開源的攻擊合約以及鏈上記錄我們可以看出:

1.黑客調用攻擊合約(0x1c)的h函數,h函數會循環調用f函數,f函數通過DAOMaker受害合約的0x4b4f892a函數獲取普通用戶在受害合約(0x41)中的USDC存款數量。

2.函數h接著調用DAOMaker受害合約(0x41)的withdrawFromUser(0x50b158e4)函數,傳入用戶存款的用戶地址、USDC地址與需要提款的數量。

3.隨后DAOMaker受害合約(0x41)將合約中的USDC轉移至攻擊合約中(0x1c)。

通過以上行為分析我們可以發現:攻擊合約(0x1c)調用了受害合約(0x41)的withdrawFromUser函數,受害合約(0x41)就將合約管理的資金直接轉給攻擊合約(0x1c)。我們直接反編譯受害合約(0x41)查看withdrawFromUser函數進行簡單分析:通過反編譯的代碼我們可以發現,此函數是有進行權限檢查的,只有DAOcontracts才能調用此函數轉移用戶的資金。但攻擊合約(0x1c)明顯不是DAO合約,因此其DAO合約必然是被攻擊者替換過的。

通過鏈上分析我們可以清楚的看到:

1.受害合約部署者(0x05)在部署受害合約(0x41)后于UTC4月12日08:33:45將0x0eba461d9829c4e464a68d4857350476cfb6f559地址設置為了管理員角色:

TxHash:

0xa1b4fceb671bb70ce154a69c2f4bd6928c11d98cbcfbbff6e5cdab9961bf0e6d2.隨后受害合約部署者(0x05)通過調用revokeRole函數放棄了受害合約(0x41)管理權限:

TxHash:

0x773613398f08ddce2cc9dcb6501adf4f5f159b4de4e9e2774a559bb1c588c1b83.而管理員則在UTC8月12日01:27:39將DAO合約設置為了攻擊合約(0x1c):

TxHash:

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6因此攻擊者才得以借助此攻擊合約(0x1c)將受害合約(0x41)中用戶的資金盜走。目前被盜資金被兌換成ETH轉移至攻擊者地址2(0xef)。

總結

本次攻擊可能源于DAOMaker受害合約的管理員私鑰泄漏。攻擊者竊取私鑰后將受害合約的DAO合約替換為了攻擊合約,攻擊者通過替換后的合約轉走了合約中的用戶資金。而由于合約部署者在設置完合約管理員后就放棄的合約管理權限,因此目前項目方可能還無法有效的取回合約控制權。

來源鏈接:mp.weixin.qq.com

免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags:MAKEMakerDAOOMAmakerdao白皮書maker幣終極計劃TGDAO幣Axioma Token

Filecoin
HYDRA第二輪持倉競賽活動獎勵已發放_HYD:cardano

親愛的Pool-X用戶:Pool-X已完成2021年07月30日上線的HYDRA第二輪持倉競賽活動獎勵發放!請獲獎者登陸Pool-X賬戶查收獎勵.

1900/1/1 0:00:00
HORD活期鎖倉活動上線,可享35%福利!_COIN:piratecoin幣行情

親愛的Pool-X用戶,Pool-X平臺將于2021年08月12日18:00:00(UTC8)上線HORD活期鎖倉活動.

1900/1/1 0:00:00
七夕浪漫豪禮,AEX安銀等你_Chain:EXRNchain

親愛的AEX用戶: ”七夕浪漫豪禮,AEX安銀等你“為回饋廣大AEX新老用戶,七夕特別活動,特推出52,000GAT浪漫豪禮.

1900/1/1 0:00:00
CryptoArt.Ai (CART)_CRYP:CRYPT

一、項目介紹 CryptoArt.Ai是目前亞洲最大的去中心化NFT加密數字藝術品交易平臺,基于以太坊ERC-721協議,集NFT生成、銷售、拍賣、收藏、轉讓為一體.

1900/1/1 0:00:00
CYA持倉競賽 “七”待是你,“夕”望是你!_CYA:DEFI S幣

尊敬的用戶: 七夕來臨,WBF聯合CYA推出“CYA持倉競賽‘七’待是你,‘夕’望是你!”七夕特別活動!XXXCYA七夕壕禮等您來拿!時間:2021年8月13日12:00-2021年8月20日1.

1900/1/1 0:00:00
國雄資本董事長姚尚坤:投資者要認清炒作虛擬貨幣背后的高風險_ING:UMB

據中證網8月10日消息,國雄資本董事長姚尚坤表示,近期,監管層持續督促指導虛擬貨幣交易平臺企業整改,對虛擬貨幣交易炒作保持高壓態勢.

1900/1/1 0:00:00
ads