摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
神鱼:中心化Staking机构需复审下私钥保管及有权限人员状态,制定紧急事件预案:金色财经报道,Cobo联合创始人兼CEO神鱼发推表示,伴随着上海升级的临近,对于机构,尤其是提供中心化staking的机构,需要reviewer下私钥保管方式及相关有权限的人员状态,检查下服务器日志,监控后续提现状态,制定紧急事件预案。[2023/4/9 13:52:56]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
美参议院银行委员会:建议对CBDC赋予更大权限:当地时间本周二,美国参议院银行委员会举行一场关于美联储监督听证会,其中重点讨论央行数字货币(CBDC)这一主题。美联储负责监督工作的副主席Randal Quarles代表该机构作证。参议员克里斯·范·霍尔伦(Chris Van Hollen)表示:我很高兴看到美联储发布有关央行数字货币的报告,并取得进展。如果联储选择发行央行数字货币,在现有权力下是否可以启动试点工作?或者说,你认为启动央行数字货币是否需要国会授权?
Randal Quarles回答说,美联储正在研究央行数字货币是否适合美国,这是一个非常开放的问题,但从更广泛的试点角度来看,央行数字货币可能需要更多的权限。在回答新兴技术和加密公司简化金融服务问题时,Randal Quarles认为在某些情况下,金融科技公司试图寻求在没有银行合作伙伴的情况下开展业务,这么做可以让企业以更低成本运营也更具包容。(The Block)[2021/5/26 22:44:44]
YFII.Finance(YFII)代币增发权限已销毁,总量减少至固定40000枚:由于此前DeFi协议yearn.finance的流动性挖矿代币奖励YFI已于7月26日发放完毕。为了保证流动性不大规模从挖矿中撤出,社区治理YIP-8提出了增发提案,对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过,因此对该提案赞成的社区成员发起了硬分叉,并创建与YFI基本相同的新项目名为YFII。
目前,在完成Pool1与Pool2上线后,相比YFI采用多重签名方式,YFII采用更为激进和DeFi原教旨的销毁增发权限(burn)方式,目前token增发权限已通过移交权限给0x0的方式进行销毁。由于Pool1与Pool3的抵押资产存在重复,Pool3暂不开启。YFII总量上限将定为4万枚。YFII治理合约会在合适时机进行创建,YFII的持币者届时可对社区治理方案进行投票。根据YFII提供的合约地址,截至发稿时已有超过800万美元的资产锁定在YFII中。[2020/7/28]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
声音 | Bittrex:纽约州金融服务部所为超越了监管权限:据Coindesk报道,纽约州金融服务部(NYDFS)的官员昨日发布文章称,Bittrex有关BitLicense被拒绝的陈述不真实。对此,Bittrex回应称,美国纽约州金融服务部超越了其监管权限,并在不断变化规则和指导方针。事实上,尽管NYDFS声称有所谓的担忧,但该机构曾表示愿意与Bittrex签订监管协议,并将在2019年1月为Bittrex批准BitLicense。但在Bittrex试图与其就提议的协议进行谈判时,NYDFS采取了好斗的立场。Bittrex称,NYDFS的行动表明该机构专注于惩罚,而不是消费者保护。[2019/4/20]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。