AOM:權限攻擊：DAO Maker被黑事件分析

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。北京時間8月12日，DAOMaker遭到黑客攻擊，大量用戶充值的USDC被轉出并換成約2261個以太坊，損失超過700萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。

俄羅斯檢察官：調查機構應被允許設立加密錢包和交易所訪問權限:12月19日消息，俄羅斯檢察官Madina Dolgieva認為，除其他政府機構外，調查機構應被允許設立加密錢包，并能夠存儲沒收的數字硬幣并將其轉換為法定貨幣。此外，Madina Dolgieva還表示，總檢察長辦公室一直主張在刑事手段獲得的前提下，數字資產是可以被視為可沒收財產。

在議會上院聯邦委員會憲法立法和國家建設委員會組織的會議上，Dolgieva指出，法院仍在做出相互矛盾的決定，有些承認加密貨幣是財產，但有些不承認。

Madina Dolgieva闡述道，沒收虛擬資產的實體錢包只是工作的一半，因為加密貨幣仍需要兌現。她強調，這就是問題的開始，因為國內交易所尚未獲得許可，而檢察官辦公室不能使用國外平臺。 Dolgieva認為有必要允許調查當局打開自己的錢包并轉換加密貨幣。[2022/12/19 21:53:58]

伊朗已通過修訂法規放寬加密礦工獲得可再生能源的權限:7月29日消息，伊朗能源部已更改某些加密貨幣挖礦法規，以方便授權在該國持牌加密挖礦公司獲得可再生能源。持牌加密挖礦公司現在可以從全國各地以較低的價格購買由可再生能源生產的電力。

伊朗發電、輸電和配電公司（Tavanir）的官員Mohammad Khodadadi指出，到目前為止，礦業企業只能與位于同一省的可再生能源發電廠簽訂合同。使用清潔能源合法挖礦的伊朗公司將不會因使用該國電力網絡而被收取常規傳輸費。

伊朗政府還表示將對無牌加密礦工采取嚴厲措施，將對非法采礦活動的罰款提高400%。根據5月份發布的官方數據，伊朗政府已經查明并關閉了近7,000家非法鑄造數字貨幣的設施。（Bitcoin.com）[2022/7/29 2:46:19]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析，其他的都是一樣的攻擊方式。

Chainalysis將擴大旗下加密課程訪問權限:7月23日消息，區塊鏈分析公司Chainalysis今日宣布將擴大旗下區塊鏈和加密基礎知識認證計劃（CFCC）的訪問權限，向更廣泛的社區用戶普及加密基礎知識。

此前，只有經Chainalysis審查的合規用戶可以參加課程，權限擴大后，金融從業人員、政府雇員等都有機會進行課程學習。（Cointelegraph）[2020/7/23]

通過交易記錄發現，DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易，將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1，這350名受害者地址以數組的形式傳入交易的inputdata。

聲音 | Bittrex：紐約州金融服務部所為超越了監管權限:據Coindesk報道，紐約州金融服務部（NYDFS）的官員昨日發布文章稱，Bittrex有關BitLicense被拒絕的陳述不真實。對此，Bittrex回應稱，美國紐約州金融服務部超越了其監管權限，并在不斷變化規則和指導方針。事實上，盡管NYDFS聲稱有所謂的擔憂，但該機構曾表示愿意與Bittrex簽訂監管協議，并將在2019年1月為Bittrex批準BitLicense。但在Bittrex試圖與其就提議的協議進行談判時，NYDFS采取了好斗的立場。Bittrex稱，NYDFS的行動表明該機構專注于懲罰，而不是消費者保護。[2019/4/20]

對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下：

可以看到只有msg.sender即：攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現：122天前合約部署人給現任管理員授權；

而后，一天前現任管理員創建攻擊合約XXX。

現任管理員給攻擊合約XXX授權。

隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC，將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作！！！攻擊者獲得現任管理員的控制權；?管理員創建了攻擊合約XXX并對其授權；DAOMakerExploiter1調用攻擊合約XXX獲利。因此，本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。二、安全建議SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：REXAOMDAOMakerLeadRex TokenAOM價格TGDAO價格MakerDAO

Fil