北京事件9月4日,NFT賽馬項目DeRace受到黑客攻擊,在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊,導致400萬美元的損失。
在此之前,北京時間8月12日,DAOMaker就已遭到類似黑客攻擊,也是由于權限管理不當受到攻擊,損失超過700萬美元。累計已因為類似的權限管理不當問題,損失了超過1000萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
Uniswap創始人Hayden Adams已重新掌握其推特賬號權限:7月21日消息,Uniswap創始人Hayden Adams發推稱,已重新掌握其推特賬號權限。據此前Uniswap發布風險提示,Hayden賬號被黑,請用戶警惕釣魚鏈接。[2023/7/21 11:08:32]
一、事件分析
攻擊者以相同的攻擊手法進行多次攻擊,以DeRace?Token(DERC)被攻擊進行分析:
消息人士:印度政府和央行被要求恢復加密貨幣行業對UPI的訪問權限:金色財經報道,消息人士表示,印度政府和中央銀行已收到要求恢復統一支付接口 UPI(一種實時支付系統)對加密行業的訪問權限的提案。目前已經提出了兩個建議,一位知情人士表示,印度新成立的加密貨幣政策倡導組織 Bharat Web3 協會 (BWA)將在未來幾周內提出第三項提案。
這些提案雖然沒有經過協調,但似乎是印度加密貨幣利益相關者首次大力推動管理新興行業的政策變革,因為它遭受了一系列打擊,形式包括嚴厲的稅收、加密貨幣冬天和“影子禁令”,影子禁令導致印度支付處理商切斷了銀行對加密貨幣交易所的訪問權限,UPI服務在去年被暫停。[2023/5/17 15:08:55]
一名比特幣核心代碼管理員已于本周四離開,當前擁有代碼修改權限的僅剩5人:2月17日消息,一名比特幣核心代碼管理員已于本周四離開,當前擁有代碼修改權限的僅剩5人,據比特幣核心開發者Andrew Chow此前統計數據顯示,自2009年推出以來僅有包括他在內的17人獲得過更改比特幣核心代碼權限,包括中本聰、Martti Malmi (Sirius, sirius_m)、Gavin Andresen、Gloria Zhao (glozow)等。
分析認為,比特幣核心代碼管理員離開或與薪酬有關,數據顯示比特幣維護者的一年補助金從10-15萬美元不等,相比之下谷歌公司的中級程序員薪水可達22.5萬美元(外加福利、獎金和股票)。Coinbase在提交給美國證券交易委員會的文件中警告,比特幣核心開發者的組織方式可能會限制比特幣增長,這些人對代碼所做的更改“可能會影響網絡的速度、安全性、可用性或價值”。[2023/2/17 12:12:54]
通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現,該合約只是起到代理的作用,只有一個fallback函數,將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。
同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同,但是都是用的相同的智能合約來將發來的請求!。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。
黑客通過發送函數簽名為0x84304ad7函數給0x2fd6,在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中,似乎并沒有對msg.sender的身份進行確權操作。因此,使得攻擊者成為0x2fd6的owner,隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數,進行緊急提款。
本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的,因此攻擊者依次使用相同的攻擊手法進行攻擊,最后兌換成了DAI,攻擊者最終獲利近400萬美金。
這已經是DaoMaker多次受到攻擊,雖然聲稱經過了多家不同安全公司的審計工作,但是其安全狀況使人擔憂。
二、安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
據dailyhodl今日消息,《經濟學人》在近期的文章中稱特幣與傳統市場的低相關性使其成為潛在的多元化的極好來源.
1900/1/1 0:00:00原標題:《英國央行公布CBDC論壇的全明星支付和技術陣容》英國央行正在加強對央行數字貨幣(CBDC)的研究,并選擇了一些銀行專家和金融科技專家來給予協助.
1900/1/1 0:00:00原文作者:ChloeSun 原文:《構建元宇宙》 你可能聽說過馬克·扎克伯格希望Facebook成為一家元宇宙公司,今年早些時候.
1900/1/1 0:00:00原標題:《Bulletproofs技術調研報告》作者:北京大學初澤良,本文僅代表作者觀點原文鏈接:https://mp.weixin.qq.com/s/q3YRoCQzC4NxZkwu4QQd5.
1900/1/1 0:00:00風險資本投資者MarkCarnegie正在通過CryptoGamingUnited支持新興的play-to-earn加密貨幣市場,該聯盟由1,500多名玩家組成.
1900/1/1 0:00:00巴比特訊,CoinGecko數據顯示,在其收錄的NFT收藏類項目中,以地板價和總量的乘積為市值算.
1900/1/1 0:00:00