0x01:前言
风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
0x02:事件详情
攻击者Suho
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
Polygon BUIDLIT Summer 2022黑客松公布获胜名单:9月16日消息,Polygon BUIDLIT Summer 2022黑客松公布获胜项目名单,社交媒体平台Cratch、卡牌游戏Toshimon、Web3游戏共创平台FindTruman获得黑客松前三名。
此外,DeFi类别前三名为DeFi for People、Nomis和Fixel。NFT类别前三名为Slise、Rakugaki和Decent Poems。游戏类别前三名为War Alpha Metaverse V2、Mothora和Cozyverse。工具和基础设施类别前三名为Toolblox、Finity-UI和Universal Adapter Protocol。[2022/9/16 7:00:40]
else{proposal
全球小费打赏文化平台TIP已报名参加币安智能链BUIDL奖励计划:据官方消息,经过初步的筛选,TIP已成功报名参与MVB计划,成功进入第二阶段。
据悉,TIP是用于构建基础设施的项目,同时在在TVL与流动性、日活跃用户、成熟的用户社区、Certik安全审计等方面也表现不错。[2022/3/16 14:00:45]
receipt
Terra Builder Alliance发布Terra 2
现场 | DIGIBUILD联合创始人:2026年后将见证区块链行业成熟:据cointime.com现场报道,今日在2018西雅图区块链大会上,DIGIBUILD联合创始人兼首席执行官Robert Salvador表示,区块链可以通过释放资金,降低交易成本,加快流程和提供安全性和信任使企业受益。 Salvador预测,2018年到2020年,整个行业将继续推出加密用例,进行更多的案例研究和早期采用;2021年到2025年,早期采用者和标准活动将提供更大的清晰度,并最大限度地减少不确定性,这将推动广泛的采用; 2026年及以后将见证区块链行业的成熟,区块链将被广泛采用并被视为供应链和生态系统的一个组成部分。[2018/8/22]
functionmint(addressaccount,uintamount)public{require(msg
functionsetGovernance(address_governance)public{require(msg
合约在初始化的时候会设置合约拥有者为治理者,并且只有治理者可以发起铸币请求,而只有治理者才能调用setGovernance函数更换治理者,因此可以确定,攻击者发起的具体提案为更换治理者。
在创建合约的时候,治理者为0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172,也就是合约部署者,他在部署合约后将治理者更换为TimeLock合约0x38bce4b45f3d0d138927ab221560dac926999ba6:
而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。
0x03:总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。