摘要:本次攻擊原因很可能是現任管理員密鑰被盜取,SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術,避免單點攻擊風險。北京時間8月12日,DAOMaker遭到黑客攻擊,大量用戶充值的USDC被轉出并換成約2261個以太坊,損失超過700萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。
Beosin:Ara項目被攻擊的根本原因是合約中處理權限存在漏洞:6月19日消息,Beosin Alert發推稱,Ara項目被攻擊的根本原因是合約中處理權限存在漏洞。0xB817開頭地址批準了大量ARA與USDT交換合約,它沒有限制從調用者轉移的用于交換的資金。[2023/6/19 21:46:59]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析,其他的都是一樣的攻擊方式。
PeckShield:Etherscan等網站的彈出窗口是由Coinzilla投放的惡意廣告,用戶可撤銷權限:5月14日消息,派盾(PeckShield)監測顯示,加密數據網站Etherscan、CoinGecko、DeFiPulse等的彈出窗口是由Coinzilla(加密廣告網絡)投放的惡意廣告,如果用戶在瀏覽它們時與簽名請求進行了交互,可使用revoke.cash撤銷訪問權限。
此前報道,Etherscan、CoinGecko等加密數據網站發生惡意彈窗事件,提示用戶連接MetaMask錢包。[2022/5/14 3:15:40]
逾千名推特員工擁有內部權限,可協助黑客入侵帳戶:兩位推特前員工透露,截至今年年初,共有超過 1000 多名員工員工和承包商可以使用內部工具更改用戶帳號設置,并將控制權提供給他人。這使得防范上周的大規模黑客攻擊變得更加困難。推特公司和美國聯邦調查局正在調查這起黑客入侵事件。推特拒絕對這一數字發表評論,也不肯透露具體數字是否在此次被黑事件發生前有所下降。但該公司表示,正在物色新的安全主管,希望加強系統安全,并培訓員工防范外部攻擊。(路透)[2020/7/24]
通過交易記錄發現,DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易,將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1,這350名受害者地址以數組的形式傳入交易的inputdata。
聲音 | John McAfee:僅拿到底層訪問權限沒有用:今日,針對Bitfi錢包能夠被黑一事,John McAfee繼續作出回應稱:“黑客生成獲得了底層訪問權限,但仍無法對程序進行任何編寫或更改。這就像拿著牙醫證書去核電站工作一樣。你能從錢包里拿走錢嗎?你不能。這才是關鍵。”[2018/8/3]
對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下:
可以看到只有msg.sender即:攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現:122天前合約部署人給現任管理員授權;
而后,一天前現任管理員創建攻擊合約XXX。
現任管理員給攻擊合約XXX授權。
隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC,將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作!!!攻擊者獲得現任管理員的控制權;?管理員創建了攻擊合約XXX并對其授權;DAOMakerExploiter1調用攻擊合約XXX獲利。因此,本次攻擊原因很可能是現任管理員密鑰被盜取,SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術,避免單點攻擊風險。二、安全建議SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
據彭博社9月7日消息,韓國加密投資機構Hashed本月將推出第二只區塊鏈基金,計劃籌集逾2000億韓元.
1900/1/1 0:00:00據Cointelegraph消息,9月28日,得克薩斯州共和黨參議員TedCruz發推反對拜登提名SauleOmarova為OCC負責人.
1900/1/1 0:00:007月16日,中國啟動了世界上規模最大的碳排放權交易市場,我國碳交易市場正式啟動,很多企業都可以進行碳交易了。要弄清楚碳交易和當前很火的碳中和,首先我們來從相關基礎概念說起.
1900/1/1 0:00:00巴比特訊,截至9月15日8點25分,高性能公鏈Solana的主網Beta版自北京時間昨夜19:52開始出現不穩定狀況,至今已超12小時,Solana鏈上應用至今無法正常運轉.
1900/1/1 0:00:00工業互聯網的蓬勃發展離不開各項技術支持。在上一篇“區塊鏈+工業互聯網“專題文章中,我們簡單分享了區塊鏈與數字孿生結合在工業互聯網中的應用.
1900/1/1 0:00:009月14日,據彭博社報道,沃爾瑪公司(WalmartInc.)已就昨日晚間市場流出「沃爾瑪宣布支持使用萊特幣支付」的虛假新聞進行調查。該新聞發布后萊特幣短時拉升超30%.
1900/1/1 0:00:00