權限攻擊：DAO Maker再次被黑事件分析_區塊鏈

北京事件9月4日，NFT賽馬項目DeRace受到黑客攻擊，在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊，導致400萬美元的損失。

在此之前，北京時間8月12日，DAOMaker就已遭到類似黑客攻擊，也是由于權限管理不當受到攻擊，損失超過700萬美元。累計已因為類似的權限管理不當問題，損失了超過1000萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

Gem發布V2內測版本，用戶可申請獲得訪問權限:2月21日，NFT交易聚合器Gem已發布V2內測版本，新功能包括聚合不同平臺的常設出價并允許即時賣出最佳報價等。用戶可通過提交申請獲得測試版訪問權限。[2023/2/22 12:20:47]

一、事件分析

攻擊者以相同的攻擊手法進行多次攻擊，以DeRace?Token(DERC)被攻擊進行分析：

比特幣核心開發人員Pieter Wuille放棄其維護權限，但仍會參與項目的審計和代碼貢獻:7月8日消息，比特幣核心（Bitcoin Core）開發人員Pieter Wuille放棄其維護權限，他通過比特幣GitHub請求從可信密鑰集中刪除他的密鑰，但他明確不會停止對參與項目的審計和代碼貢獻。自2011年以來，Wuille為比特幣核心做出了數千項貢獻，包括比特幣改進提案（BIP）32，它引入了用于更輕松地存儲和恢復私鑰的助記詞；隔離見證（SegWit），它提供了一種新的、有效的數據塊存儲方式等。

Pieter Wuille離開后，Wladimir J. van der Laan、Marco Falke、Michael Ford 和 Hennadii Stepanov四位開發人員擁有比特幣核心提交訪問權限。[2022/7/8 1:59:57]

通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現，該合約只是起到代理的作用，只有一個fallback函數，將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

美國法官暗示投資者無權限制IRS從交易所獲取交易信息:金色財經報道，美國新罕布什爾州法官Joseph Di Clerico在批準去年12月提出的一則案件的駁回動議時暗示，個人可能無權強制美國國稅局（IRS）刪除其從加密貨幣交易所獲得的記錄。據悉，原告James Harper曾于2013年在Coinbase等交易所開設賬戶，曾獲得比特幣作為其咨詢工作的收入。他聲稱自己在納稅申報表報告了加密交易直到2016年，隨后其清算了在Coinbase、Abra和Uphold的比特幣。在2019年，IRS向加密貨幣投資者發送了10,000封信，并似乎暗示他們需支付任何未申報的補繳稅款。由于Harper收到了IRS的來信，他推斷Abra、Coinbase或兩者都向IRS提供了他的個人信息。 2020年7月，他針對美國IRS提起了民權訴訟，指控稅務機關侵犯了他的權利。今日的駁回顯示，Harper無權獲得賠償金，也無權限制IRS從交易所獲取稅務信息的能力。[2021/3/24 19:12:17]

同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同，但是都是用的相同的智能合約來將發來的請求！。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

黑客通過發送函數簽名為0x84304ad7函數給0x2fd6，在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中，似乎并沒有對msg.sender的身份進行確權操作。因此，使得攻擊者成為0x2fd6的owner，隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數，進行緊急提款。

本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的，因此攻擊者依次使用相同的攻擊手法進行攻擊，最后兌換成了DAI，攻擊者最終獲利近400萬美金。

這已經是DaoMaker多次受到攻擊，雖然聲稱經過了多家不同安全公司的審計工作，但是其安全狀況使人擔憂。

二、安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：比特幣ALL區塊鏈COIN比特幣坑了多少中國人錢blockchain.infowalletID區塊鏈存證平臺法院Meme Doge Coin

火必