北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。
在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
伊朗已通过修订法规放宽加密矿工获得可再生能源的权限:7月29日消息,伊朗能源部已更改某些加密货币挖矿法规,以方便授权在该国持牌加密挖矿公司获得可再生能源。持牌加密挖矿公司现在可以从全国各地以较低的价格购买由可再生能源生产的电力。
伊朗发电、输电和配电公司(Tavanir)的官员Mohammad Khodadadi指出,到目前为止,矿业企业只能与位于同一省的可再生能源发电厂签订合同。使用清洁能源合法挖矿的伊朗公司将不会因使用该国电力网络而被收取常规传输费。
伊朗政府还表示将对无牌加密矿工采取严厉措施,将对非法采矿活动的罚款提高400%。根据5月份发布的官方数据,伊朗政府已经查明并关闭了近7,000家非法铸造数字货币的设施。(Bitcoin.com)[2022/7/29 2:46:19]
一、事件分析
欧易OKX推出行业首个透明资管工具:实时监控、权限控制、支持CeFi/DeFi组合:据官方消息,欧易OKX宣布推出行业首个透明资管工具—托管交易子账户。该功能为用户(特别是项目方、资管及高净值投资者)提供更简单透明的子账户管理功能,可为子帐户授予不同级别的访问权限,支持一键终止托管,并兼容跨CeFi及DeFi的资产管理操作。 在欧易OKX,我们不会将任何客户资金用于杠杆或交易。针对近期机构事件,欧易OKX认为目前行业的主要问题是缺乏可信赖的第三方来帮助控制风险、清算和审计,这对于减轻加密行业的系统性风险至关重要。[2022/6/21 4:42:50]
声音 | Bit.ly:不会阻止加密货币相关网站访问权限:据cointelegraph报道,网址缩短服务Bit.ly表示“不会阻止加密货币网站”的访问权限,并且已经修复了Andreas Antonopoulos即将发布的书籍《掌握以太坊》中链接的访问问题。[2018/11/8]
攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:
通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。
本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。
这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。