比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > DOGE > Info

Maker:權限攻擊:DAO Maker被黑事件分析

Author:

Time:1900/1/1 0:00:00

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取,SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術,避免單點攻擊風險。北京時間8月12日,DAOMaker遭到黑客攻擊,大量用戶充值的USDC被轉出并換成約2261個以太坊,損失超過700萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。

Uniswap創始人Hayden Adams已重新掌握其推特賬號權限:7月21日消息,Uniswap創始人Hayden Adams發推稱,已重新掌握其推特賬號權限。據此前Uniswap發布風險提示,Hayden賬號被黑,請用戶警惕釣魚鏈接。[2023/7/21 11:08:32]

DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析,其他的都是一樣的攻擊方式。

安全團隊:0xDc4d開頭EOA地址上有可疑活動,請及時撤銷代幣訪問權限:5月12日消息,據CertiK監測,EOA地址(0xDc4d51D732a7C8E90727eb3628c89Ef655a25EC5)上發生可疑活動。如果用戶無意中授予EOA訪問代幣權限,請及時撤銷。[2023/5/12 14:59:14]

通過交易記錄發現,DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易,將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1,這350名受害者地址以數組的形式傳入交易的inputdata。

分析 | 慢霧科技:錢包被注入惡意代碼 可能是網站管理員沒有維護好代碼權限:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,慢霧科技在接受金色財經采訪時分析指出:“錢包被注入惡意代碼,有可能是網站的管理員沒有維護好代碼的權限。導致網頁代碼被攻擊者加入了惡意代碼。惡意代碼會竊取助記詞、私鑰等等的東西發送到攻擊者自己的服務器上面,就像一個后門一樣。類似的事件,以前也發生過不少,主要還是錢包的問題,從用戶角度來看, 盡量不要用這種網頁錢包。”[2019/10/12]

分析 | 慢霧:攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析,從DragonEx公布的“攻擊者地址”的分析來看,20 個幣種都被盜取(但還有一些DragonEx可交易的知名幣種并沒被公布),從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同,攻擊持續的時間至少有1天,但能造成這種大面積盜取結果的,至少可以推論出:攻擊者拿下了DragonEx盡可能多的權限,更多細節請留意后續披露。[2019/3/26]

對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下:

可以看到只有msg.sender即:攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現:122天前合約部署人給現任管理員授權;

而后,一天前現任管理員創建攻擊合約XXX。

現任管理員給攻擊合約XXX授權。

隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC,將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作!!!攻擊者獲得現任管理員的控制權;?管理員創建了攻擊合約XXX并對其授權;DAOMakerExploiter1調用攻擊合約XXX獲利。因此,本次攻擊原因很可能是現任管理員密鑰被盜取,SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術,避免單點攻擊風險。二、安全建議SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:MakerOMADAOAOMmakerdao下載Omax TokenFree Trump DaoAOM價格

DOGE
區塊鏈:中國移動研究院區塊鏈領軍人物董寧:大型企業做區塊鏈最忌諱閉門造車

巴比特訊,9月26日,在2021年區塊鏈服務網絡全球合作伙伴大會上,中國移動研究院區塊鏈領軍人物董寧在發表演講時指出,大型企業做區塊鏈,最忌諱閉門造車,不跟產業接觸,不跟行業接觸.

1900/1/1 0:00:00
DOT:波卡的Staking機制是怎樣的?

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
HER:三分鐘讀懂以太坊擴容方案 zkEVM的基本原理與發展現狀

撰文:DeGate 原標題:《三分鐘讀懂zkEVM:以太坊擴容方案的明珠》9月1日凌晨,以太坊擴容網絡Arbitrum宣布主網公測版本正式上線.

1900/1/1 0:00:00
CHR:Chronicle獲Panda International官方授權上線首個公益NFT

巴比特訊,9月22日消息,基于NEAR的NFT創意工坊和發行與交易平臺Chronicle與國際公益組織PandaInternational獨家合作,正式上線第一波Panda#1NFT.

1900/1/1 0:00:00
NFT:從39元到300萬元,亞運會火炬NFT標出天價,但無人接盤

鏈新原創作者|王晟宇 原標題:《亞運會火炬NFT炒至300萬元,天價背后無人接盤》支付寶的NFT標價又出現一則天價.

1900/1/1 0:00:00
區塊鏈:知名啤酒百威布局NFT,試圖揭開“蓄謀已久”的上鏈面紗?

作者|三黎出品|白話區塊鏈近日,世界知名啤酒品牌百威用了30個ETH購買了一個名為beer.ethENS域名.

1900/1/1 0:00:00
ads