SWAP:權限攻擊：DAO Maker再次被黑事件分析

北京事件9月4日，NFT賽馬項目DeRace受到黑客攻擊，在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊，導致400萬美元的損失。

在此之前，北京時間8月12日，DAOMaker就已遭到類似黑客攻擊，也是由于權限管理不當受到攻擊，損失超過700萬美元。累計已因為類似的權限管理不當問題，損失了超過1000萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

俄羅斯檢察官：調查機構應被允許設立加密錢包和交易所訪問權限:12月19日消息，俄羅斯檢察官Madina Dolgieva認為，除其他政府機構外，調查機構應被允許設立加密錢包，并能夠存儲沒收的數字硬幣并將其轉換為法定貨幣。此外，Madina Dolgieva還表示，總檢察長辦公室一直主張在刑事手段獲得的前提下，數字資產是可以被視為可沒收財產。

在議會上院聯邦委員會憲法立法和國家建設委員會組織的會議上，Dolgieva指出，法院仍在做出相互矛盾的決定，有些承認加密貨幣是財產，但有些不承認。

Madina Dolgieva闡述道，沒收虛擬資產的實體錢包只是工作的一半，因為加密貨幣仍需要兌現。她強調，這就是問題的開始，因為國內交易所尚未獲得許可，而檢察官辦公室不能使用國外平臺。 Dolgieva認為有必要允許調查當局打開自己的錢包并轉換加密貨幣。[2022/12/19 21:53:58]

一、事件分析

SpiritSwap：用戶需要撤銷當前的inSPIRIT合約權限，但資金沒有風險:金色財經消息，Fantom生態去中心化交易協議SpiritSwap發推表示，inSPIRIT合約出現問題，因此需要用戶撤銷當前的inSPIRIT合約權限，但用戶資金沒有風險。[2022/3/16 14:00:11]

攻擊者以相同的攻擊手法進行多次攻擊，以DeRace?Token(DERC)被攻擊進行分析：

SumSwap已正式向所有用戶開放交易對創建權限:據官方消息，數學創新型去中心化協議SumSwap已正式向所有用戶開放交易對創建權限，目前任何人都能在SumSwap創建ERC20幣種的交易對。

?據悉，SumSwap是英國區塊鏈技術公司打造的一款去中心化項目，該項目是用數學方法對市場上多個DeFi進行整合而打造的創新型DeFi。[2021/7/16 0:58:19]

通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現，該合約只是起到代理的作用，只有一個fallback函數，將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同，但是都是用的相同的智能合約來將發來的請求！。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

黑客通過發送函數簽名為0x84304ad7函數給0x2fd6，在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中，似乎并沒有對msg.sender的身份進行確權操作。因此，使得攻擊者成為0x2fd6的owner，隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數，進行緊急提款。

本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的，因此攻擊者依次使用相同的攻擊手法進行攻擊，最后兌換成了DAI，攻擊者最終獲利近400萬美金。

這已經是DaoMaker多次受到攻擊，雖然聲稱經過了多家不同安全公司的審計工作，但是其安全狀況使人擔憂。

二、安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：SWAPSPIPIROLGTEAsWAP. ArtSPICE價格Knight War Spirits唯愛幣olg空投

比特幣交易所