火星链 火星链
Ctrl+D收藏火星链
首页 > 加密货币 > 正文

YFI:权限攻击:DAO Maker再次被黑事件分析

作者:

时间:1900/1/1 0:00:00

北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。

在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。

美国法官暗示投资者无权限制IRS从交易所获取交易信息:金色财经报道,美国新罕布什尔州法官Joseph Di Clerico在批准去年12月提出的一则案件的驳回动议时暗示,个人可能无权强制美国国税局(IRS)删除其从加密货币交易所获得的记录。据悉,原告James Harper曾于2013年在Coinbase等交易所开设账户,曾获得比特币作为其咨询工作的收入。他声称自己在纳税申报表报告了加密交易直到2016年,随后其清算了在Coinbase、Abra和Uphold的比特币。在2019年,IRS向加密货币投资者发送了10,000封信,并似乎暗示他们需支付任何未申报的补缴税款。由于Harper收到了IRS的来信,他推断Abra、Coinbase或两者都向IRS提供了他的个人信息。 2020年7月,他针对美国IRS提起了民权诉讼,指控税务机关侵犯了他的权利。今日的驳回显示,Harper无权获得赔偿金,也无权限制IRS从交易所获取税务信息的能力。[2021/3/24 19:12:17]

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

YFII.Finance(YFII)代币增发权限已销毁,总量减少至固定40000枚:由于此前DeFi协议yearn.finance的流动性挖矿代币奖励YFI已于7月26日发放完毕。为了保证流动性不大规模从挖矿中撤出,社区治理YIP-8提出了增发提案,对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过,因此对该提案赞成的社区成员发起了硬分叉,并创建与YFI基本相同的新项目名为YFII。

目前,在完成Pool1与Pool2上线后,相比YFI采用多重签名方式,YFII采用更为激进和DeFi原教旨的销毁增发权限(burn)方式,目前token增发权限已通过移交权限给0x0的方式进行销毁。由于Pool1与Pool3的抵押资产存在重复,Pool3暂不开启。YFII总量上限将定为4万枚。YFII治理合约会在合适时机进行创建,YFII的持币者届时可对社区治理方案进行投票。根据YFII提供的合约地址,截至发稿时已有超过800万美元的资产锁定在YFII中。[2020/7/28]

一、事件分析

逾千名推特员工拥有内部权限,可协助黑客入侵帐户:两位推特前员工透露,截至今年年初,共有超过 1000 多名员工员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。推特公司和美国联邦调查局正在调查这起黑客入侵事件。推特拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。(路透)[2020/7/24]

Libra协会创始成员Bison Trails为客户提供Celo的访问权限:金色财经报道,区块链公司Bison Trails现在将为其客户提供访问Celo的权限。据悉,Bison Trails也是Libra协会的创始成员,而Celo是Libra的竞争对手。Bison Trails于两个月前加入了Celo繁荣联盟。[2020/5/9]

攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

标签:YFIYFII区块链POOSyfinHYFII区块链游戏币最高涨多少POOCOIN

加密货币热门资讯
BDC:国际清算银行报告:CBDC可能会给银行业带来挑战

国际清算银行在其9月份的报告中表示,私人数字资产可以与中央银行运营的数字货币共存。该报告遵循亚洲部分地区对私人Crypto的政策禁令——这是一个有趣的更新,因为它是CBDC试验和试点启动的领跑者.

1900/1/1 0:00:00
VER:互联网的尽头,为什么是“元宇宙”?

在A股市场中,从来不缺乏题材概念的炒作,几年前是逢热点必炒,几年后一样如此。而要说最近在A股市场什么最火热?那非“元宇宙”概念莫属。9月8日,元宇宙概念板块大涨14%.

1900/1/1 0:00:00
ETA:巴比特等10家区块链企业登榜,2020年度浙江省数字贸易百强榜正式发布

巴比特讯,9月3日,2021中国服务贸易交易会浙江主宾省活动在北京国家会议中心隆重举行,并发布了2020年度浙江省数字贸易百强榜.

1900/1/1 0:00:00
CHI:萨尔瓦多比特币采用现状:麦当劳、星巴克及本地企业接受BTC支付,超7000名企业家接受BTC交易培训

原标题:《图文一览萨尔瓦多当地的比特币采用情况》随着比特币在萨尔瓦多正式成为法定货币,比特币在这个中美洲国家慢慢变得流行起来.

1900/1/1 0:00:00
STK:dYdX发布“质押合约bug”事故报告和解决方案:合约部署中出现错误,将补偿质押用户

巴比特讯,9月8日,dYdX发布“质押合约bug”事故报告,dYdX安全模块在可升级智能合约部署过程中,出现了一个错误,导致DYDX兑换stkDYDX比率从1变为0.

1900/1/1 0:00:00
MINA:Mina社区发布新计划,包含社区星火排行榜及Mina成就等

Mina宣布推出全新的社区资助计划、社区星火排行榜计划以及Mina学会和Mina成就计划,以支持社区成员参与Mina的生态.

1900/1/1 0:00:00