慢霧：DAO Maker Vesting合約遭黑客攻擊，攻擊者獲利近400萬美金_STI:Sing To Earn

巴比特訊，據慢霧區情報，DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken(DERC)，Coinspaid(CPD)，CapsuleCoin(CAPS)，ShowcaseToken(SHO)都使用了DaoMaker的分發系統，在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊，即SHO參與者的分發系統中出現了一個漏洞：init未初始化保護，攻擊者初始化了init的關鍵參數，同時變更了owner，然后通過emergencyExit將目標代幣盜走，并兌換成了DAI，攻擊者最終獲利近400萬美金。

慢霧：警惕QANX代幣的雙花攻擊風險:據慢霧區消息，近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。

慢霧安全團隊建議已上架此幣種的平臺及時自查，未上架的平臺在對接此類幣種時應注意以上風險。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

黑客利用Vesting合約中的漏洞，將Vesting合約中的代幣提走，如下是簡要分析：

慢霧：BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息，10月30日攻擊BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗幣過程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺，其中部分 ETH 代幣被兌換成 BTC。此外，黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈，目前，初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息：

動態 | 慢霧：10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示，過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊，手法包括但不限于：第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施，例如：1. 密切注意第三方 JS 鏈接風險；2. 提幣地址應為白名單地址，添加時設置雙因素校驗，用戶提幣時從白名單地址中選擇，后臺嚴格做好校驗。此外，也要多加注意內部后臺的權限控制，防止內部作案。[2019/11/1]

1.Vesting合約中的init函數(函數簽名：0x84304ad7)，沒有對調用者進行鑒權，黑客通過執行init函數成為Vesting合約的Owner。

2.Owner可以執行Vesting合約中的emergencyExit函數，進行緊急提款。

利用同樣的手法其攻擊其他Vesting合約，轉移如下代幣：DeRaceToken(DERC)、Coinspaid(CPD)、CapsuleCoin(CAPS)、ShowcaseToken(SHO)。

Tags：TININGSTIEST加密貨幣行情INVESTINGSing To EarnSTIMMY價格test幣價格

pepe最新價格