火星链 火星链
Ctrl+D收藏火星链
首页 > BNB > 正文

NCE:Build Finance攻击事件分析

作者:

时间:1900/1/1 0:00:00

DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

该合约线上提案投票地址?https://snapshot

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

HCL Technologies与R3合作推出区块链平台BUILDINGBLOCK:HCL Technologies与R3合作推出区块链平台BUILDINGBLOCK,旨在简化跨国公司的商业财产保险。(Fstech)[2020/8/18]

else{proposal

receipt

该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:

动态 | 日本BUIDL公司推出面向加密货币交易所的对应工具SHIEDL:据Crypto Watch消息,5月30日,日本BUIDL公司推出了面向加密货币交易所的AML/CFT对应工具SHIEDL。该工具可计算出区块链地址的风险分数,并通过API提供,该工具可防范风险较大的用户的行为。目前该工具只能用于BTC、ETH、XRP三个币种,今后将逐渐应对ERC-20及其他加密货币。[2019/5/30]

随后又通过治理合约控制平衡池,耗尽包括13万METRIC代币在内的其他数字资产:

动态 | Nomic实验室为Ethereum区块链推出新的Buidler任务运行器:10月初,Nomic实验室获得了Ethereum 基金会大约5万美元的资助。这笔资金被用于处理名为Builder的任务运行器 。任务运行器是一个用于自动化重复任务的计算机程序。这使得测试、编译和部署代码更加顺畅和快速。Nomic实验室认为,Ethererum的第一个任务运行器不仅可以简化程序员的工作,还可以通过Ethereum 开发者工具实现更快的开发进度。Buidler将取代许多单调重复的任务,加速开发过程。[2018/10/29]

最后丧心病狂的铸造了一亿个Build,出售给任何还存在流动性的池子:

目前还未确定攻击者发起通过的提案内容,但根据通过提案后的铸币行为,跟进到代币合约0x6e36556b3ee5aa28def2a8ec3dae30ec2b208739:

addresspublicgovernance;constructor()publicERC20Detailed("BUILDFinance","BUILD",18){governance=msg

functionmint(addressaccount,uintamount)public{require(msg

functionsetGovernance(address_governance)public{require(msg

合约在初始化的时候会设置合约拥有者为治理者,并且只有治理者可以发起铸币请求,而只有治理者才能调用setGovernance函数更换治理者,因此可以确定,攻击者发起的具体提案为更换治理者。

在创建合约的时候,治理者为0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172,也就是合约部署者,他在部署合约后将治理者更换为TimeLock合约0x38bce4b45f3d0d138927ab221560dac926999ba6:

而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:

最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。

0x03:总结

经过完整分析,知道创宇区块链安全实验室?明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。

标签:BUILDNCEANCNANbuildyourtrustSoju FinanceYIN FinanceWault Finance (OLD)

BNB热门资讯
ETF:Gate.io 關於將對 (LTC5L, SKL3L, GRT3L, FTM3S, OMG3L) ETF產品進行持倉份額合併和單位淨值調整的公告

Gate.io槓槓ETF是一種自帶槓桿屬性和具有自動調倉機制的交易產品。ETF產品每日跟進盈利虧損調整槓桿率回到目標槓桿杆倍數,盈利會開倉,虧損會減倉,用戶在交易槓桿產品的時候不需要支付保證金,

1900/1/1 0:00:00
EXE:幣安Staking上線DEXE高收益活動,年化高達39.80%

親愛的用戶:幣安Staking平台將於2022年02月17日20:00上線多重DEXE高收益鎖倉活動.

1900/1/1 0:00:00
Gate.io HODL & Earn: Lock DIVER To Earn 100% APR(Phase 3)

TheLockDIVER&Earn#3(term14days)willlaunchat8:00UTConFeb25atGate.io''s“HODL&Earn”section.

1900/1/1 0:00:00
BLEU:BLEU交易大赛 — 豪送38,019,300 BLEU!

亲爱的BitMart用户,BleuFi(BLEU)已于2022年2月10日21:00(香港时间)上线BitMart!为庆祝BLEU上线,我们向广大交易用户开放BLEU交易大赛活动—瓜分38.

1900/1/1 0:00:00
TPS:【獎勵發放】第四期合約交易大賽活動結束及獎勵發放的公告

尊敬的AAX用戶:AAX於2022年2月11日17:00-2022年2月18日17:00(UTC8)舉辦的“第四期合約交易大賽,參與Meme合約瓜分45000USDT”活動現已圓滿結束.

1900/1/1 0:00:00
Gate.io:Gate.io新款結構性理財敲出價格區間,已提前停止申購

Gate.io結構性理財於北京時間2022年2月18日12:00上架新款鯊魚鰭2.0產品,由於目前標的觀測價格已超出價格區間,原計劃於今日21:00結束申購的產品已提前停止申購.

1900/1/1 0:00:00