VEST:慢雾：DAO Maker Vesting合约遭黑客攻击，攻击者获利近400万美金

巴比特讯，据慢雾区情报，DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC)，Coinspaid(CPD)，CapsuleCoin(CAPS)，ShowcaseToken(SHO)都使用了DaoMaker的分发系统，在DAOMaker中进行持有者发行时因DAOMaker合约被攻击，即SHO参与者的分发系统中出现了一个漏洞：init未初始化保护，攻击者初始化了init的关键参数，同时变更了owner，然后通过emergencyExit将目标代币盗走，并兑换成了DAI，攻击者最终获利近400万美金。

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系，共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

黑客利用Vesting合约中的漏洞，将Vesting合约中的代币提走，如下是简要分析：

慢雾：nanotron安全审计报告是伪造的:慢雾科技发推表示：团队并没有对于nanotron进行审计，项目的安全审计报告是伪造的，请注意防范风险。[2020/10/8]

对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息：

慢雾：Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到，Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX，并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外，Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

1.Vesting合约中的init函数(函数签名：0x84304ad7)，没有对调用者进行鉴权，黑客通过执行init函数成为Vesting合约的Owner。

2.Owner可以执行Vesting合约中的emergencyExit函数，进行紧急提款。

利用同样的手法其攻击其他Vesting合约，转移如下代币：DeRaceToken(DERC)、Coinspaid(CPD)、CapsuleCoin(CAPS)、ShowcaseToken(SHO)。

标签：ESTINGVESTTINFastest AlertsKINGDOGVESTA价格BitingFM

MATIC热门资讯