摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
Merlin:建议用户撤销钱包在其官网的两个权限:4月26日消息,zkSync生态DEX Merlin发布公告称正在分析协议漏洞,并提醒用户撤销钱包在其官方网站上的连接站点访问权限和签名权限。[2023/4/26 14:27:34]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
新加坡金管局:准备提供流动性以确保稳定,瑞信客户将继续拥有完全访问权限:金色财经报道,新加坡金管局表示,准备提供流动性以确保稳定,瑞士信贷的客户将继续拥有完全的访问权限。将继续密切监控国内金融体系,瑞银在新加坡的主要业务并不是零售业务。瑞信事件不会影响新加坡银行业的稳定,目前瑞信在新加坡继续无间断运营。在接管过程中,将与瑞士金融市场监督管理局、瑞士信贷和瑞银保持密切联系。[2023/3/20 13:14:29]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
火币:冷钱包采用多重、门限签名技术,不依赖某一个人的权限与操作:关于近期行业动态引发的对平台钱包核心机制的关注及问询,火币相关负责人回应金色财经:火币冷钱包使用了多重签名和门限签名技术保障私钥签名过程的安全性,多人、多地备份保障私钥的可用性,自主研发的安全硬件保障存储的健壮性。同时通过严格的规范要求、流程标准以及最小权限、多人背靠背隔离操作等机制保障各个操作环节的安全,并在技术和流程上均实现了不依赖某一个人的权限与操作行为,敬请各界放心使用。感谢广大用户的关注与支持。[2020/10/16]
声音 | 腾讯财付通:关闭一家真实交易指向比特币等“二元期权交易平台”商户的支付权限:据新京报报道,财付通表示,近日,在日常交易监测和风险排查中,财付通公司风险管理部门发现一家服务类公司高度可疑,单日交易金额大,但与该公司实际业务严重偏离,且交易过程中存在大量可疑行为。经深入分析,其真实交易指向某“二元期权交易平台”。经核实,该平台为外汇、股票、比特币二元期权交易,属于我国法律明令禁止的网络炒汇和外汇期货行为。核实确认后,财付通关闭了该商户的支付权限,制止其继续进行非法交易。[2019/9/29]
声音 | 安全公司:钱包助记词遭破解 手机root权限成关键因素:针对近日有数字钱包被破解助记词一事,北京链安安全专家c00lman分析,视频中的攻击者采用了一台越狱手机,利用root权限,打开了存在该钱包私有目录下的配置文件preferences.xml,读取加密后的助记符字段seedPhraseEntropy。而后攻击者通过逆向手段,还原了加密算法,对加密后的助记符数据进行解密,还原了助记符。
但是这段攻击视频有个前提,攻击者需要获取root权限,这在大部分攻击场景下是不具备的。事实上,该钱包已经对助记符进行了加密存储,只是攻击者逆向出了加密算法。对于这类问题,更关键的是相关应用厂商采用安全公司专业的root安全性检查方案,在用户手机系统被破解时及时提醒用户。
对此,北京链安建议:相关钱包应用加强对手机环境进行root权限检查,而各位用户也应该避免在越狱手机上使用钱包、交易所App。[2018/11/22]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。