Build Finance攻擊事件分析-ODAILY_AXI

0x01：前言

風投DAO組織BuildFinance在社交媒體發文表示，該項目遭遇惡意治理攻擊，攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

0x02：事件詳情

攻擊者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

LayerZero生態全鏈NFT協議Holograph開放Building NFT限時免費多鏈鑄造活動:6月14日消息，據官方消息，LayerZero生態全鏈NFT協議Holograph開放BuildingNFT限時免費多鏈鑄造活動。據悉，Building出自藝術家Amber Vittoria之手，可在以太坊、Polygon、Avalanche、BNB Chain和Optimism上免費鑄造，限時48小時（將于1天9小時后結束）。[2023/6/14 21:36:17]

else{proposal

Polygon BUIDLIT Summer 2022黑客松公布獲勝名單:9月16日消息，Polygon BUIDLIT Summer 2022黑客松公布獲勝項目名單，社交媒體平臺Cratch、卡牌游戲Toshimon、Web3游戲共創平臺FindTruman獲得黑客松前三名。

此外，DeFi類別前三名為DeFi for People、Nomis和Fixel。NFT類別前三名為Slise、Rakugaki和Decent Poems。游戲類別前三名為War Alpha Metaverse V2、Mothora和Cozyverse。工具和基礎設施類別前三名為Toolblox、Finity-UI和Universal Adapter Protocol。[2022/9/16 7:00:40]

receipt

Axie Infinity Builders Program收到超2000份申請，最終12個項目入選:5月31日消息，周二，Axie Infinity開發商Sky Mavis宣布已經接受了Axie Infinity Builders Program中第一個由用戶創建的項目。在2000多名申請者中，只有12個項目入選。

據悉，被選中的團隊將獲得至少1萬美元的贈款，以AXS支付，用于資助項目開發。他們還將獲得授權，以使用Axie Infinity品牌，以收入分成模式實現游戲盈利。其中值得一提的項目包括Across Lunacia（面向Axies NFTs的平臺冒險游戲）和Mech Infinity（面向Axies及其獨特能力的大逃殺游戲）。（Cointelegraph）[2022/6/1 3:54:05]

該函數方法允許任何擁有一定數量資產的用戶發起提案，持有該資產的其他用戶進行投票，函數代碼未發現安全問題，因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后，攻擊者鑄造了100萬個BUILD代幣，耗盡大部分Balancer和Uniswap流動性池的資金：

而在2021年1月，TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth發起提案，利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，惡意接管后鑄幣套現。

0x03：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由攻擊者創造低閾值提案，讓自己惡意接管了治理權限，去中心化的治理實現是很有必要的，但不應該讓攻擊者可以利用少量投票就通過提案。

Tags：FINBUILDPROAXItunasfinancebuildyourtrustProsperAXIN價格

歐易okex官網