Terra:Build Finance攻擊事件分析-ODAILY

0x01：前言

風投DAO組織BuildFinance在社交媒體發文表示，該項目遭遇惡意治理攻擊，攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

0x02：事件詳情

攻擊者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

Klaytn公布BUIDL the Future黑客松Klaytn賽道獲獎項目:3月2日消息，韓國區塊鏈平臺Klaytn發文介紹Coinbase Cloud主辦的BUIDL the Future黑客松Klaytn賽道的獲獎項目者，分別為：冠軍項目Web3眾籌平臺Wanna、第一名NFT游戲化平臺 Encryp、第二名NFT資產管理平臺 GameFolio。[2023/3/2 12:38:36]

else{proposal

receipt

Terra Builder Alliance發布Terra 2.0提案:5月18日消息，Terra Builder Alliance（建設者聯盟）發布Terra 2.0鏈愿景統一提案。稱本提案的目標是： 1. 確保建設者得到適當的激勵 2. 盡可能多地保留當前的LUNAtics 3. 將盡可能多的新LUNAtics帶入網絡。參與起草本提案的主要利益相關者有：建設者生態系統；驗證者；基礎設施團隊；做市商；風險投資和其他各種重要利益相關者。均已表示支持該計劃。該提案已得到 TBA 和 TFL 的認可。并計劃于5月27日啟動Terra 2.0網絡。[2022/5/18 3:25:26]

該函數方法允許任何擁有一定數量資產的用戶發起提案，持有該資產的其他用戶進行投票，函數代碼未發現安全問題，因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后，攻擊者鑄造了100萬個BUILD代幣，耗盡大部分Balancer和Uniswap流動性池的資金：

Solana為印度開發者和企業家推出黑客馬拉松活動Building out Loud:區塊鏈平臺Solana宣布推出針對印度開發者和企業家的黑客馬拉松項目Building out Loud。Solana計劃與黑客馬拉松平臺Devfolio以及YouTube影響者Superpumped合作，推出為期3周的活動。Solana邀請學生、Web2和Web3開發者、工程師和任何希望合作進入加密領域的人參與該活動，申請截止日期為8月12日。除了8萬美元的現金獎勵外，獲勝的參與者還將從Solana基金會和知名全球投資者那里籌集資金。這一活動獲得包前Coinbase首席技術官（CTO）Balaji Srinivasan、種子投資者Chris McCann、CRED創始人Kunal Shah等加密人士和企業家的支持。（Cointelegraph）[2021/7/27 1:18:30]

而在2021年1月，TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth發起提案，利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，惡意接管后鑄幣套現。

0x03：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由攻擊者創造低閾值提案，讓自己惡意接管了治理權限，去中心化的治理實現是很有必要的，但不應該讓攻擊者可以利用少量投票就通過提案。

Tags：BUILDTerraLANASOLABUILD Financeterra幣韓國LANA價格Solarys

火幣APP