火星链 火星链
Ctrl+D收藏火星链
首页 > BNB价格 > 正文

XDAO:DAO Maker被盗事件分析

作者:

时间:1900/1/1 0:00:00

8月12日,根据DAO Maker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。团队经过分析后,发现该事件的起因是私钥泄露或者内部人士所为。

通过我们的交易分析系统(https://tx.blocksecteam.com)我们发现,攻击的过程非常简单。攻击交易的hash是:

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

涉及到的地址:

0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者钱包

2022年MakerDAO、Lido和SushiSwap平均年薪分别为20.5万美元、13.2万美元和25.6万美元:2月1日消息,加密数据平台Token Terminal近期发布了一项关于MakerDAO、Lido和SushiSwap的运营成本和费用结构研究。数据显示,MakerDAO、Lido和SushiSwap的平均年薪分别为20.5万美元、13.2万美元和25.6万美元。具体来看,MakerDAO 2022财年总收入3775万美元,年度开支3409万美元,年度总薪酬2350万美元;Lido 2022财年总收入3332万美元,年度开支2451万美元,年度总薪酬1095万美元;SushiSwap 2022财年总收入1675万美元,年度开支522万美元,年度总薪酬474万美元。[2023/2/1 11:40:23]

0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX,攻击者合约

美国联邦法官要求CFTC在11月7日前对Ooki DAO动议作出回应:10月14日消息,bZx协议运营组织Ooki DAO更新CFTC/Ooki DAO行动的简报,称联邦法官接受了非当事人意见陈述,并命令美国商品期货交易委员会(CFTC)对Ooki DAO的动议作出回应,截止日期为11月7日,以重新考虑法官裁定CFTC服务有效的裁决。

此前报道,美CFTC对bZx协议原控制团队处以25万美元民事罚款,并对Ooki DAO提起诉讼。CFTC的诉讼称,Ooki DAO是一个非法人协会,其经营一家名为bZx的无牌交易为非法行为。[2022/10/14 14:27:39]

0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人

METAXDAO获“全球区块链最佳DAO生态科技创新大奖”:3月25日“全球区块链最佳DAO生态科技创新大奖”正式揭晓,马来西亚前首相、国会议员、巫通党主席、经济总顾问拿督-斯里纳吉布,出席颁奖仪式并为大奖得主META XDAO项目颁奖。

META XDAO 早期投资人拿督-斯里梁启发阁下在发表获奖感言中说到:衷心的感谢前首相拿督-斯里纳吉布先生为META XDAO颁奖和对META XDAO 的高度认可,同时感谢52个国家和社区的认可,感谢各位领导,贵宾,社会各界人士对META XDAO支持和参与,感谢META XDAO 全球粉丝的支持和参与。[2022/3/26 14:18:42]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者(也是攻击者)

动态 | Synthetix计划在2020年从基金会治理模式过渡至DAO治理模式:基于以太坊的合成资产发行平台Synthetix宣布计划将项目从基金会治理模式过渡至DAO治理模式,将在其法律商业结构、协议治理、产品优化等三方面开启过渡,最终实现建立去中心化的SynthextixDAO。

Syntheix表示,计划在2020年实现两个方面的过渡,首先是将其项目的资产储备的控制权从基金会转移至DAO,其次是完善DAO的治理。[2019/12/18]

攻击者XXX (0x1c93290202424902a5e708b95f4ba23a3f2f3cee)调用受害者钱包合约(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。

这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?

继续追踪,我们发现它的admin权限是由另外一笔交易完成的。

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。

然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。

总结一下,整个的流程是:

那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。

另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。

但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?

标签:DAO0X0XDAOMETAADAO币0X0币xdao币最新消息metamask官方下载手机版

BNB价格热门资讯
Arbitrum:Arbitrum 主网的开发部署体验 看这七个开发者怎么说

作为最早上线的 EVM 兼容 Rollup 扩容方案 之一,Arbitrum 已经向开发者开放了主网接入的权限,运行了正好一个月的时间,国内外不少的开发团队已经在积极尝试和部署.

1900/1/1 0:00:00
区块链:如何玩转ZED RUN并获取收益?(一)

我们登陆ZED RUN官网https://zed.run,可以看到顶部导航栏主要提供了三大功能,分别为:市场MARKETPLACE,即购买马匹的地方;培育BREEDING.

1900/1/1 0:00:00
NFT:NFT领域最火爆的项目 竟然是一只“无聊的猴子”

尽管加密货币市场遇冷,但NFT领域却越来越引人关注。支付宝的蚂蚁链最新推出了“敦煌飞天”和“伍六七”两款主题NFT皮肤,基本上发售即秒光,国人对于限量、抢购的消费模式一如既往的毫无抵抗力.

1900/1/1 0:00:00
OPEN:OpenLaw:自动化法律协议

启动时间: OpenLaw于2017年首次发布。于2018年8月2日推出并托管在Eventbrite平台。OpenLaw通过重新设想法律协议的创建、执行和存储,解决合约协议中存在的不同问题.

1900/1/1 0:00:00
LYM:一文读懂算法稳定币项目Olympus DAO(OHM)

原文标题:《WTF is Olympus DAO??》作者:Ben Giove,Chapman Crypto总裁编译:谷昱,链捕手DeFi 的当前状态是一种深刻的讽刺.

1900/1/1 0:00:00
SPE:详解Abracadabra.Mone:是希望还是又一个泡沫?

我们这是第一次以项目为重点对DeFi领域进行探索,它并不适合胆小的人。这篇文章的技术性很强,并且内容丰富。为了防止你看的一知半解,本文包含了大量的细节.

1900/1/1 0:00:00