DAO:DAO Maker被盜事件分析

8月12日，根據DAO Maker電報群用戶反饋，該項目疑似遭到黑客攻擊，價值700萬美元的USDC被黑客提取至未知地址。團隊經過分析后，發現該事件的起因是私鑰泄露或者內部人士所為。

通過我們的交易分析系統（https://tx.blocksecteam.com）我們發現，攻擊的過程非常簡單。攻擊交易的hash是：

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

涉及到的地址：

0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者錢包

Camelot在Arbitrum論壇發起未來6個月內向Camelot DAO授予1200萬枚ARB的提案:6月30日消息，Arbitrum生態DEX Camelot在Arbitrum論壇發起提議未來6個月內每月向Camelot DAO授予200萬枚ARB的提案，以資助Camelot上以Arbitrum為中心的項目的流動性激勵。Camelot將在下周初為該提案發布完整的AIP投票。[2023/6/30 22:09:32]

0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX，攻擊者合約

MakerDAO將價值16億美元的USDC轉移至Coinbase托管:金色財經報道，Maker Improvement Proposal (MIP) 81已被批準，該提案將使MakerDAO將多達16億美元的USDC轉移到Coinbase托管，以獲得機構獎勵。社區還批準了MIP 82，以促進向Coinbase提供5億美元的USDC貸款，以ETH和BTC作為抵押。Coinbase表示，MakerDAO社區批準了MIP 81之后，Coinbase Prime將從該協議中保管多達16億美元的USDC。

隨著MIP 81的批準，MakerDAO加入了Coinbase的機構獎勵試點計劃，從Coinbase作為托管人的USDC中獲得1.5%的收益。Coinbase將全年24小時保持對DAO Peg Stability Module（PSM）的訪問，負責管理MakerDAO從掉期中獲得的治理費。MakerDAO社區還批準了MIP 82，這一步將推進向Coinbase發放5億美元的USDC貸款，通過ETH和BTC抵押，并通過PSM促進，利率在4.5%-6%之間，按月支付。

此前報道，MakerDAO社區提議將近11億美元的USDC轉入CoinbaseCustody以賺取收益。（the block）[2022/10/25 16:37:27]

0x0eba461d9829c4e464a68d4857350476cfb6f559：中間人

ApeCoin DAO將于10月15日左右發布治理文件:金色財經報道，ApeCoin DAO成員Brandon Caruana在周三晚上舉行了一次辦公時間會議上表示，ApeCoin DAO將于10月15日左右發布治理文件。Brandon Caruana表示，ApeCoin DAO正在按計劃發布對提名過程的看法以及之后的選舉的想法，這份治理文件將涵蓋從如何獲得提名、如何提名其他人、提名人審查以及選舉過程如何運作的所有內容。Brandon Caruana稱，這份治理文件是與ApeCoin社區對話的起點，而不是全部的終點。[2022/10/11 10:30:33]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c：受害合約創建者（也是攻擊者）

育碧支持的鏈游公司Planetarium集成Maker DAO:法國游戲巨頭育碧支持的區塊鏈游戲公司Planetarium旗下PC角色扮演類區塊鏈游戲Nine Chronicles宣布與穩定幣項目Maker DAO集成，Nine Chronicles游戲用戶將能夠使通過去中心化穩定幣Dai使用優惠的價格來購買游戲虛擬物品。[2020/9/2]

攻擊者XXX （0x1c93290202424902a5e708b95f4ba23a3f2f3cee）調用受害者錢包合約(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函數查詢用戶余額，然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作，因此通常需要對調用者的身份做校驗。我們通過分析發現，攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。

這里的問題就變成為什么攻擊者能具有相應的權限？通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下：

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限，那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢？

繼續追蹤，我們發現它的admin權限是由另外一筆交易完成的。

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。

然而我們發現，受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。

總結一下，整個的流程是：

那問題就來了，為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢？這里有兩個可能性。第一個0x054e是內鬼，第二個就是私鑰泄露。

另外一個有趣的點就是攻擊者的合約是開源的，代碼簡單易懂，可以作為學習合約開發的啟蒙教程。

但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用？

Tags：DAOCOINCOIOINhdao幣與香港的關系ATB CoinNekocoinimagecoin

芝麻開門交易所下載