BTC/HKD+1.04%
ETH/HKD+0.76%
LTC/HKD+0.82%
DOT/HKD+3.66%
ADA/HKD+2.05%
SOL/HKD-0.94%
XRP/HKD+1.42%
DOGE/US+1.41%8月12日,根據DAO Maker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。團隊經過分析后,發現該事件的起因是私鑰泄露或者內部人士所為。
通過我們的交易分析系統(https://tx.blocksecteam.com)我們發現,攻擊的過程非常簡單。攻擊交易的hash是:
0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9
涉及到的地址:
0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者錢包
ApeCoin DAO發起構建APE生態網站的提案投票:據官方消息,ApeCoin DAO社區已發起新提案AIP-123投票,該提案擬構建一個名為Apeverse的APE生態網站,及時向ApeCoin持有者傳遞APE相關信息。根據提案,該生態網站將支持多語言,最先支持英文、中文、日文和韓文,同時將支持ApeCoin支付系統的衍生產品銷售。[2022/12/5 21:22:56]
0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX,攻擊者合約
0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人
成都鏈安:BasketDAO遭到攻擊,導致用戶損失約120萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BasketDAO遭到攻擊,導致用戶損失約120萬美元。通過鏈必追產品進行追蹤分析,發現大部分被盜資金都被存入了 TornadoCash,以下為受害者地址:[2022/3/30 14:27:04]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者(也是攻擊者)
MakerDAO社區發起流動性挖礦計劃提案:麥吉爾大學計算機科學博士Ali Atiia在MakerDAO社區發起一項鑄造Dai獎勵MKR代幣的流動性挖礦計劃提案,該提案的假設是,該流動挖礦可刺激Dai的市值至1000億美元,在高流動性的支持下,錨定率將更加穩健,而治理/社區可以將重點轉移到其他方面,例如采用和法幣入金等。根據該提案,MKR獎勵將由現有基金會儲備和/或通貨膨脹撥款;和Compound/Aave合作在其生態中增加MKR作為抵押品,以便現有持有人可以借貸并參與挖礦;使用保管庫時間加權分配代幣,防止大鯨占絕對優勢;創建Dai和USDC的儲備金,將其保持在Dai市值的10%左右,該儲備金可用于穩定錨定率;引入負利率。[2021/1/3 16:19:21]
攻擊者XXX (0x1c93290202424902a5e708b95f4ba23a3f2f3cee)調用受害者錢包合約(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。
MakerDAO發起投票 計劃添加GUSD為新抵押資產:8月25日,Gemini交易所官方發推宣布,MakerDAO已將對GUSD的認同民意調查納入投票系統,該投票將持續到8月31日。若投票獲批,GUSD將被接受作為新的抵押資產。[2020/8/25]
這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:
0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6
0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?
繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的。
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。
然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。
總結一下,整個的流程是:
那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。
另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。
但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?
愛它的人視其為信仰,恨它的人直言它是騙局,智能合約還未上線的 Cardano 憑什么值幾百億美元?在加密世界總有一類資產充滿爭議,在外界看來,它就是包裝華麗的氣球,開發緩慢,徒有虛名.
1900/1/1 0:00:00DeFi流動性挖礦火爆一時,為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程,教程不代表金色觀點.
1900/1/1 0:00:00Polkadot 是以交互性為側重點的網絡,旨在打造下一代的互聯網體系, Polkadot 將于接下來的幾個月內不斷進行平行鏈插槽拍賣.
1900/1/1 0:00:00Moonriver(MOVR)簡介:Moonriver是Moonbeam的先行鏈,做波卡智能合約平臺的平行鏈.
1900/1/1 0:00:00今年的大趨勢除了有 DeFi 和 NFT 之外,還有 meme!狗狗幣憑借著它的可愛狗狗圖案,就能擠進加密貨幣市值排行榜前 10,可謂頭號 meme 幣.
1900/1/1 0:00:00幣圈近來掀起了一陣DeFi風,DeFi流動性挖礦相當火爆,Yield Farming的年化收益,不管是單幣種或雙幣種質押,都是挺不錯的,同時引來了無數投資者蜂擁參與.
1900/1/1 0:00:00
比特幣交易所
