权限攻击:DAO Maker再次被黑事件分析

北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。

在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。

Scam Sniffer:仍有超1200个地址未撤销SushiSwap合约漏洞相关权限:4月9日消息,反网络钓鱼解决方案 Scam Sniffer 提醒称,仍有超 1200 个地址未撤销 SushiSwap 合约漏洞相关权限。[2023/4/9 13:53:09]

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

The Sandbox:第三方盗取员工计算机权限,向用户发送包含恶意链接的电子邮件:3月2日消息,The Sandbox 发文表示,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为“The Sandbox Game (PURELAND) Access”的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。

The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。[2023/3/2 12:38:31]

攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:

Gem发布V2内测版本,用户可申请获得访问权限:2月21日,NFT交易聚合器Gem已发布V2内测版本,新功能包括聚合不同平台的常设出价并允许即时卖出最佳报价等。用户可通过提交申请获得测试版访问权限。[2023/2/22 12:20:47]

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

YFII.Finance(YFII)代币增发权限已销毁,总量减少至固定40000枚:由于此前DeFi协议yearn.finance的流动性挖矿代币奖励YFI已于7月26日发放完毕。为了保证流动性不大规模从挖矿中撤出,社区治理YIP-8提出了增发提案,对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过,因此对该提案赞成的社区成员发起了硬分叉,并创建与YFI基本相同的新项目名为YFII。

目前,在完成Pool1与Pool2上线后,相比YFI采用多重签名方式,YFII采用更为激进和DeFi原教旨的销毁增发权限(burn)方式,目前token增发权限已通过移交权限给0x0的方式进行销毁。由于Pool1与Pool3的抵押资产存在重复,Pool3暂不开启。YFII总量上限将定为4万枚。YFII治理合约会在合适时机进行创建,YFII的持币者届时可对社区治理方案进行投票。根据YFII提供的合约地址,截至发稿时已有超过800万美元的资产锁定在YFII中。[2020/7/28]

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

Bitcoin干货 | Schnorr 签名如何提升比特币

在阅读Blockstream撰写的?MuSig?论文时,我一直在想象,这对于我一个比特币用户来说,到底意味着什么。我发现Schnorr签名的一些特性实在是非常棒而且便利,但某一些特性则非常烦人.

[0:15ms0-2:182ms