Build Finance攻擊事件分析-ODAILY_CREDI:NCR

0x01：前言

風投DAO組織BuildFinance在社交媒體發文表示，該項目遭遇惡意治理攻擊，攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

0x02：事件詳情

攻擊者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

趙長鵬回應幾位高管離職：每家公司都有人員流動，將持續BUILD和招聘:7月7日消息，趙長鵬回應《財富》雜志有關幣安幾位高管離職的報道稱，關于一些離職FUD，新聞給出的理由是完全錯誤的。隨著加密貨幣的市場和全球環境的變化，隨著幣安的發展以及個人情況的變化，每家公司都有人員流動。幣安將持續BUILD，并繼續招聘。感謝所有前團隊成員為幣安的成長做出的貢獻，并祝愿他們一切順利。

此前，《財富》雜志稱，幣安幾位高管離職的原因是對司法部正在對趙長鵬和幣安進行的調查的回應。《財富》表示，此前有傳言稱美國司法部即將對幣安和趙長鵬提起刑事訴訟。[2023/7/7 22:22:43]

else{proposal

Klaytn公布BUIDL the Future黑客松Klaytn賽道獲獎項目:3月2日消息，韓國區塊鏈平臺Klaytn發文介紹Coinbase Cloud主辦的BUIDL the Future黑客松Klaytn賽道的獲獎項目者，分別為：冠軍項目Web3眾籌平臺Wanna、第一名NFT游戲化平臺 Encryp、第二名NFT資產管理平臺 GameFolio。[2023/3/2 12:38:36]

receipt

該函數方法允許任何擁有一定數量資產的用戶發起提案，持有該資產的其他用戶進行投票，函數代碼未發現安全問題，因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后，攻擊者鑄造了100萬個BUILD代幣，耗盡大部分Balancer和Uniswap流動性池的資金：

Incredibuild完成3500萬美元B輪融資，Hiro Capital領投:6月27日消息，分布式軟件和游戲開發加速平臺Incredibuild 完成3500萬美元B輪融資，Hiro Capital領投，Insight Partners參投，估值已接近8億美元。

這筆最新融資將推動Incredibuild在人工智能、元宇宙等眾多行業的創新和增長。Incredibuild 模式與點對點網絡相似，其想法是在任何給定時間，組織網絡中都有空閑CPU，然后有效地劃分繁重的代碼并將其分發到這些CPU實時運行處理。另據Incredibuild公司首席執行官Tami Mazel Shachar透露，去中心化金融“絕對是該公司在不久將來的一個選擇和一個需要專注的領域。”（PR Newswire）[2022/6/28 1:34:47]

而在2021年1月，TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth發起提案，利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，惡意接管后鑄幣套現。

0x03：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由攻擊者創造低閾值提案，讓自己惡意接管了治理權限，去中心化的治理實現是很有必要的，但不應該讓攻擊者可以利用少量投票就通過提案。

Tags：BUILDNCRREDCREDIbuildyourtrustNCR價格RED SHIBA INUSmartCredit Token

Luna