以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > USDT > Info

權限攻擊:DAO Maker再次被黑事件分析_ALL:gov幣subdao

Author:

Time:1900/1/1 0:00:00

北京事件9月4日,NFT賽馬項目DeRace受到黑客攻擊,在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊,導致400萬美元的損失。

在此之前,北京時間8月12日,DAOMaker就已遭到類似黑客攻擊,也是由于權限管理不當受到攻擊,損失超過700萬美元。累計已因為類似的權限管理不當問題,損失了超過1000萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

Coinbase法務官:OFAC對Tornado Cash的新制裁超出了國會授予OFAC的權限:金色財經報道,Coinbase法務官Paul Singh Grewal在社交媒體上稱,最近,OFAC刪除了Tornado Cash,然后又將其重新添加到其美國制裁名單中。但這些制裁超出國會授予OFAC的權限,因此Coinbase繼續支持挑戰這種過度擴張的聯邦訴訟。我們支持OFAC的總體國家安全目標,并非常尊重其重要工作。我們還致力于遵守所有適用的制裁義務,并為此開發了行業領先的工具。但是,當OFAC采取前所未有的措施制裁Tornado Cash(一種被許多人用來保護隱私的協議)及其智能合約(開源技術)時,我們感到有必要支持那些愿意站出來反對的人。[2022/11/24 8:01:59]

一、事件分析

美國國家橄欖球聯盟(NFL)放寬有關加密公司贊助的規則,授予NFT贊助的有限權限:金色財經報道,美國國家橄欖球聯盟(National Football League)在一份備忘錄中表示,授予球隊尋求區塊鏈贊助的有限許可,但將繼續禁止俱樂部或球員直接推廣加密貨幣。該備忘錄顯示,NFL 在完成對該技術的評估后,決定允許“在不承擔過度監管或品牌風險的情況下建立推廣關系”,許可須經 NFL 批準,不包括體育場標牌。NFL 消費產品負責人Joe Ruggiero表示,球隊與區塊鏈公司之間達成的任何交易都不會超過三年,以賦予聯盟靈活性。他補充說,NFL 也可以將其聯盟范圍內的區塊鏈權利出售給其他公司。(CNBC)[2022/3/23 14:12:28]

逾千名推特員工擁有內部權限,可協助黑客入侵帳戶:兩位推特前員工透露,截至今年年初,共有超過 1000 多名員工員工和承包商可以使用內部工具更改用戶帳號設置,并將控制權提供給他人。這使得防范上周的大規模黑客攻擊變得更加困難。推特公司和美國聯邦調查局正在調查這起黑客入侵事件。推特拒絕對這一數字發表評論,也不肯透露具體數字是否在此次被黑事件發生前有所下降。但該公司表示,正在物色新的安全主管,希望加強系統安全,并培訓員工防范外部攻擊。(路透)[2020/7/24]

攻擊者以相同的攻擊手法進行多次攻擊,以DeRace?Token(DERC)被攻擊進行分析:

通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現,該合約只是起到代理的作用,只有一個fallback函數,將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同,但是都是用的相同的智能合約來將發來的請求!。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

黑客通過發送函數簽名為0x84304ad7函數給0x2fd6,在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中,似乎并沒有對msg.sender的身份進行確權操作。因此,使得攻擊者成為0x2fd6的owner,隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數,進行緊急提款。

本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的,因此攻擊者依次使用相同的攻擊手法進行攻擊,最后兌換成了DAI,攻擊者最終獲利近400萬美金。

這已經是DaoMaker多次受到攻擊,雖然聲稱經過了多家不同安全公司的審計工作,但是其安全狀況使人擔憂。

二、安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:區塊鏈ALLNFLDAO影視幣區塊鏈有哪些Football InuConfluxgov幣subdao

USDT
知名啤酒百威布局NFT,試圖揭開“蓄謀已久”的上鏈面紗?_區塊鏈:STRONG價格

作者|三黎出品|白話區塊鏈近日,世界知名啤酒品牌百威用了30個ETH購買了一個名為beer.ethENS域名.

1900/1/1 0:00:00
杭州市委常委、副市長胥偉華:加快向中國區塊鏈之都邁進_18區:人工智能

巴比特訊,9月26日,由杭州市拱墅區人民政府、區塊鏈服務網絡發展聯盟主辦,中國移動通信集團設計院有限公司、中國銀聯浙江分公司、杭州拱墅區數產園管委會、智慧城市發展聯盟協辦的2021年區塊鏈服務網.

1900/1/1 0:00:00
美國SEC提醒投資者注意加密領域騙局_EST:SEC

據dailyhodl9月7日報道,美國證券交易委員會就加密貨幣投資領域潛伏的騙局向投資者發出警告,“欺詐者繼續利用日益流行的數字資產來引誘散戶投資者參與詐騙,這往往會導致毀滅性的損失.

1900/1/1 0:00:00
融資新聞丨Play-to-Earn游戲公會CGU完成500萬美元融資_RES:Warrior Empires

風險資本投資者MarkCarnegie正在通過CryptoGamingUnited支持新興的play-to-earn加密貨幣市場,該聯盟由1,500多名玩家組成.

1900/1/1 0:00:00
解讀兩個利好信息:美聯儲會議決議和SEC監管_SEC:CETF價格

前幾天由于不確定的消息和不確定的因素引得市場動蕩不安,而近兩天當消息差不多確定之后,行情也開始如愿反彈,市場情緒也逐漸穩定,今天我們主要討論兩個問題,昨晚的美聯儲會議和近期傳言甚廣的SEC監管.

1900/1/1 0:00:00
區塊鏈列入《青島市“十四五”戰略性新興產業發展規劃》10大重點產業_BDC:dlt幣發行量

據青島市人民政府官網9月17日報道,青島市人民政府近日印發《青島市“十四五”戰略性新興產業發展規劃》,其中列出10大重點產業,在第九項“區塊鏈”產業中.

1900/1/1 0:00:00
ads