比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Filecoin > Info

慢霧:DAO Maker 的 Vesting 合約遭到黑客攻擊簡析_TIN

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分發系統,在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然后通過emergencyExit將目標代幣盜走,并兌換成了DAI,攻擊者最終獲利近400萬美金。

慢霧:針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息,慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認,火幣本著負責任披露信息的策略,對本次事件做以下說明:本次事件是小范圍內(4000人)的用戶聯絡信息泄露,信息種類不涉及敏感信息,不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致,相關用戶信息于2022年10月8日已經完全隔離,日本站與火幣全球站無關。本次事件由白帽團隊發現后,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待,切勿傳謠。[2023/7/1 22:12:01]

黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析:

慢霧:PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊,慢霧安全團隊解析:這是一次典型的利用閃電貸操作價格的攻擊,其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷,而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格,使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議,在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息:

慢霧:BTFinance被黑,策略池需防范相關風險:據慢霧區情報,智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析,本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒,近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題,必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]

1.Vesting合約中的init函數(函數簽名:0x84304ad7),沒有對調用者進行鑒權,黑客通過執行init函數成為Vesting合約的Owner。2.Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。

相關合約地址:

Vesting代理合約:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting實現合約:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同樣的手法其攻擊其他Vesting合約,轉移如下代幣:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f

Tags:VESTVESTININGVESTXUnvestValentine Floki3KingdomsMultiverse

Filecoin
比特幣基金會官網bitcoin.org已下線,此前曾被黑客攻擊并發布詐騙廣告_TCO

鏈捕手消息,比特幣基金會官網bitcoin.org目前已為下線狀態。據稱,黑客發布的詐騙地址在網站下線前已收到9筆交易,價值總計17800美元,目前尚不確定為黑客自我交易還是用戶打款.

1900/1/1 0:00:00
《經濟學人》封面報道:DeFi 的承諾與風險_DEF

來源:TheEconomist 編輯:南風 懷疑者有很多口實。最早使用比特幣(最原始的加密貨幣)的人用它來購買,而現在網絡黑客們用它來索要贖金.

1900/1/1 0:00:00
公鏈激勵競賽重燃洗牌時刻,多鏈時代即將到來?_DEF

作者:凱爾 來源:蜂巢財經 NFT、鏈上衍生品、區塊鏈游戲等新熱點一個接一個來襲,推著DeFi進入了又一個Summer.

1900/1/1 0:00:00
三分鐘讀懂 zkEVM:以太坊擴容方案的明珠_以太坊

撰文:DeGate,鏈聞ChianNews9月1日凌晨,以太坊擴容網絡Arbitrum宣布主網公測版本正式上線,與此同時?Optimism?則早已經向部分白名單應用開放.

1900/1/1 0:00:00
多方回應萊特幣虛假新聞事件:將調查相關的任何犯罪活動_NEWS

作者:谷昱 9月13日晚,新聞分發平臺GlobeNewswire發布了一篇名為“沃爾瑪宣布與萊特幣的主要伙伴關系”的稿件,稱沃爾瑪將支持萊特幣支付,此后彭博社、路透社等媒體均報告該新聞.

1900/1/1 0:00:00
Arrington Capital:深度剖析波卡平行鏈設計理念與運作機制_以太坊

作者:NinosMansor,ArringtonCapital合伙人原標題:《TheLeagueOfParachains:Polkadot》 編譯:麟奇.

1900/1/1 0:00:00
ads