Maker:权限攻击：DAO Maker被黑事件分析

摘要:本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。北京时间8月12日，DAOMaker遭到黑客攻击，大量用户充值的USDC被转出并换成约2261个以太坊，损失超过700万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。

伊朗已通过修订法规放宽加密矿工获得可再生能源的权限:7月29日消息，伊朗能源部已更改某些加密货币挖矿法规，以方便授权在该国持牌加密挖矿公司获得可再生能源。持牌加密挖矿公司现在可以从全国各地以较低的价格购买由可再生能源生产的电力。

伊朗发电、输电和配电公司（Tavanir）的官员Mohammad Khodadadi指出，到目前为止，矿业企业只能与位于同一省的可再生能源发电厂签订合同。使用清洁能源合法挖矿的伊朗公司将不会因使用该国电力网络而被收取常规传输费。

伊朗政府还表示将对无牌加密矿工采取严厉措施，将对非法采矿活动的罚款提高400%。根据5月份发布的官方数据，伊朗政府已经查明并关闭了近7,000家非法铸造数字货币的设施。（Bitcoin.com）[2022/7/29 2:46:19]

加密开发者foobar：无聊猿合约存在无限增发权限:6月6日消息，Web3开发人员foobar发推表示，Bored Ape Yacht Club（BAYC）代币合约所有者（个人钱包而非多签）拥有铸造无限数量的新BAYC的权限。一旦其遭到黑客攻击或网络钓鱼，可能会导致成千上万的新BAYC被铸造并倾销到市场上。[2022/6/6 4:04:30]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析，其他的都是一样的攻击方式。

Visor Finance攻击事件报告：黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称，攻击者获得了一个管理帐户的访问权限，能够从尚未存入流动性提供者头寸的存款中提取资金。报告称，被盗金额约占其300万美元TVL的16.7%（约合50万美元），并证实该黑客并非团队成员，因此对其紧急提款保障措施缺乏充分了解，被盗资金仅限于未配置的资产。（BeInCrypto）[2021/6/21 23:53:12]

动态 | Bitfury新体系使用区块链技术管理医疗数据权限:据Cointelegragh4月5日报道，Bitfury集团和医疗数据公司Longenesis联合推出医疗保健行业基于区块链的新体系，其解决了用户同意管理问题，以简化数据收集医学研究。所有数据和用户同意更新都会记录在ExonumTM区块链上，并带有时间戳以供将来审核。据称该解决方案既可以用作完整的数据管理系统，也可以用作存储用户同意的现有数字系统的附件。[2019/4/5]

通过交易记录发现，DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易，将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1，这350名受害者地址以数组的形式传入交易的inputdata。

动态 | 网址缩短服务Bitly限制加密货币网站访问权限:据btcmanager报道，网址缩短服务Bitly被发现限制对加密货币网站的访问权限。著名的比特币影响者Andreas Antonopoulos将在四周发布《掌握以太坊》。他在推特上发文称，对于Bitly决定阻止该书中的加密货币网站链接的访问权限而感到困惑。他现在必须改变书中现有的200个链接，并且用另一家网址缩短服务的链接替换。[2018/11/7]

对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下：

可以看到只有msg.sender即：攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现：122天前合约部署人给现任管理员授权；

而后，一天前现任管理员创建攻击合约XXX。

现任管理员给攻击合约XXX授权。

随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC，将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作！！！攻击者获得现任管理员的控制权；?管理员创建了攻击合约XXX并对其授权；DAOMakerExploiter1调用攻击合约XXX获利。因此，本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。二、安全建议SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：AOMDAOMakerMAKEAOM价格DAO Investmaker币Make Cities Great Again

瑞波币热门资讯