权限攻击:DAO Maker再次被黑事件分析_区块链:区块链专业方向好就业吗

北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。

在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

消息人士:印度政府和央行被要求恢复加密货币行业对UPI的访问权限:金色财经报道,消息人士表示,印度政府和中央银行已收到要求恢复统一支付接口 UPI(一种实时支付系统)对加密行业的访问权限的提案。目前已经提出了两个建议,一位知情人士表示,印度新成立的加密货币政策倡导组织 Bharat Web3 协会 (BWA)将在未来几周内提出第三项提案。

这些提案虽然没有经过协调,但似乎是印度加密货币利益相关者首次大力推动管理新兴行业的政策变革,因为它遭受了一系列打击,形式包括严厉的税收、加密货币冬天和“影子禁令”,影子禁令导致印度支付处理商切断了银行对加密货币交易所的访问权限,UPI服务在去年被暂停。[2023/5/17 15:08:55]

一、事件分析

新加坡金管局:准备提供流动性以确保稳定,瑞信客户将继续拥有完全访问权限:金色财经报道,新加坡金管局表示,准备提供流动性以确保稳定,瑞士信贷的客户将继续拥有完全的访问权限。将继续密切监控国内金融体系,瑞银在新加坡的主要业务并不是零售业务。瑞信事件不会影响新加坡银行业的稳定,目前瑞信在新加坡继续无间断运营。在接管过程中,将与瑞士金融市场监督管理局、瑞士信贷和瑞银保持密切联系。[2023/3/20 13:14:29]

声音 | John McAfee:仅拿到底层访问权限没有用:今日,针对Bitfi钱包能够被黑一事,John McAfee继续作出回应称:“黑客生成获得了底层访问权限,但仍无法对程序进行任何编写或更改。这就像拿着牙医证书去核电站工作一样。你能从钱包里拿走钱吗?你不能。这才是关键。”[2018/8/3]

攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:483ms