0x01:前言
风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
0x02:事件详情
攻击者Suho
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
Polygon Labs与Station3NYC在纽约推出“Builder House NYC”:金色财经报道,Polygon Labs在其官推宣布与Station3NYC合作推出是专门为艺术家和建筑商提供的工作空间“Builder House NYC”,地址位于纽约市中心,旨在支持和培养建设者和艺术家的人才,并构建一个激发创造力、促进协作和支持创新理念发展的社区,继而激发数字艺术领域内外的创新。。[2023/7/7 22:22:45]
else{proposal
美IRS寻求对Kraken及其子公司执行信息传票许可:金色财经报道,美国国税局(IRS)已提交一份法庭文件,寻求对 Kraken 及其子公司执行信息传票的许可。IRS周四向法院提交了一份强制执行其传票的请愿书,在 Kraken 宣布将解决证券交易委员会对其通过其“质押即服务”计划提供未注册证券的指控后几分钟,该文件就生效了。IRS表示,它于 2021 年首次发出传票,但 Kraken 未能遵守。[2023/2/10 11:58:14]
receipt
六大以太坊元宇宙项目的虚拟土地平均价格自今年以来已下跌约85%:金色财经报道,根据WeMeta数据显示,由于用户兴趣减退和加密熊市的影响,2022年虚拟土地的价格大幅下降。六大以太坊元宇宙项目(Decentraland、TheSandbox、Voxels、SomniumSpace、NFTWorlds和SuperWorld)的每块虚拟土地的平均价格从1月的约17000美元下降到8月的约2500美元,下降了85%。此外,从每周平均来看,虚拟地块交易量从2021年11月的峰值10亿美元下降到了2022年8月的约1.57亿美元。(cointelegraph)[2022/8/9 12:10:56]
该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:
而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。
0x03:总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。