比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE > Info

權限攻擊:DAO Maker再次被黑事件分析_ELE

Author:

Time:1900/1/1 0:00:00

北京事件9月4日,NFT賽馬項目DeRace受到黑客攻擊,在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊,導致400萬美元的損失。

在此之前,北京時間8月12日,DAOMaker就已遭到類似黑客攻擊,也是由于權限管理不當受到攻擊,損失超過700萬美元。累計已因為類似的權限管理不當問題,損失了超過1000萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

美國法官暗示投資者無權限制IRS從交易所獲取交易信息:金色財經報道,美國新罕布什爾州法官Joseph Di Clerico在批準去年12月提出的一則案件的駁回動議時暗示,個人可能無權強制美國國稅局(IRS)刪除其從加密貨幣交易所獲得的記錄。據悉,原告James Harper曾于2013年在Coinbase等交易所開設賬戶,曾獲得比特幣作為其咨詢工作的收入。他聲稱自己在納稅申報表報告了加密交易直到2016年,隨后其清算了在Coinbase、Abra和Uphold的比特幣。在2019年,IRS向加密貨幣投資者發送了10,000封信,并似乎暗示他們需支付任何未申報的補繳稅款。由于Harper收到了IRS的來信,他推斷Abra、Coinbase或兩者都向IRS提供了他的個人信息。 2020年7月,他針對美國IRS提起了民權訴訟,指控稅務機關侵犯了他的權利。今日的駁回顯示,Harper無權獲得賠償金,也無權限制IRS從交易所獲取稅務信息的能力。[2021/3/24 19:12:17]

一、事件分析

動態 | OpenNode獲得Apple Pay使用權限以支持零售支付:比特幣支付初創公司OpenNode市場營銷主管瑞安·弗勞爾斯(Ryan Flowers)表示,該公司剛剛獲得了使用Apple Pay的權限。客戶的法定支付通過OpenNode的合作伙伴Wyre,轉換為比特幣(BTC)并存入商戶的錢包。在幾個月后正式發布之前,商家可以注冊成為私有功能版本的一部分,目前還處于測試階段。OpenNode和Wyre都拒絕透露Apple Pay賬戶的名稱,而提供對Apple Pay賬戶的間接訪問的后端rails也適用于大多數借記卡。(Coindesk)[2020/2/20]

動態 | 西班牙電信巨頭將向8000家公司授予其區塊鏈訪問權限:金色財經報道,西班牙電信巨頭西班牙電信Telefonica已經與當地的科學技術公園協會(APTE)合作,向西班牙約8000家公司授予了對其區塊鏈的訪問權限。Telefonica將在APTE的52個站點上部署其基于Hyperledger的區塊鏈的節點。[2020/1/10]

攻擊者以相同的攻擊手法進行多次攻擊,以DeRace?Token(DERC)被攻擊進行分析:

通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現,該合約只是起到代理的作用,只有一個fallback函數,將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同,但是都是用的相同的智能合約來將發來的請求!。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。

黑客通過發送函數簽名為0x84304ad7函數給0x2fd6,在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中,似乎并沒有對msg.sender的身份進行確權操作。因此,使得攻擊者成為0x2fd6的owner,隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數,進行緊急提款。

本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的,因此攻擊者依次使用相同的攻擊手法進行攻擊,最后兌換成了DAI,攻擊者最終獲利近400萬美金。

這已經是DaoMaker多次受到攻擊,雖然聲稱經過了多家不同安全公司的審計工作,但是其安全狀況使人擔憂。

二、安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:區塊鏈ELEAPPCOIN區塊鏈存證怎么操作元一seele幣合法嗎中幣官網appBeetle Coin

PEPE
巴比特午間要聞一覽_YTN

1.NBA球星庫里以3.5ETH購入PudgyPenguin#62752.佳士得將于10月1日拍賣ArtBlocksCurated:Sets1-3.

1900/1/1 0:00:00
春秋航空開通數字人民幣APP子錢包_APP

9月18日,據@上海長寧商務微信公號消息,近日,上海市數字人民幣首批試點單位之一春秋航空成功在數字人民幣App內上線“子錢包”,成為航旅出行行業接入數字人民幣App手機錢包的先鋒.

1900/1/1 0:00:00
一文復盤萊特幣和沃爾瑪的烏龍事件,到底是誰在割韭菜?_OIN

來源:財聯社|區塊鏈日報 記者董宇佳徐賜豪 北京時間9月13日晚間,加密貨幣行情因萊特幣與沃爾瑪的“烏龍”消息出現了戲劇性震動.

1900/1/1 0:00:00
NFT市場銷售額在上周市場大跌后開始改善_OPEN

據Bitcoin.com9月20日消息,NFT的銷售額在9月10日從8月中旬的歷史高點暴跌了86%。該報告指出,銷量最大的NFT市場Opensea的7天銷售額下滑了52.47%.

1900/1/1 0:00:00
Gavin Wood: XCM 第二部分- 版本控制和兼容性

在關于XCM的第一篇文章中,介紹了它的基本架構、目標以及如何將其用于一些簡單的用例。在這里,我們將繼續深入檢查XCM的一個有趣方面:有一個共同的語言可以解決很多交互的問題.

1900/1/1 0:00:00
科普 | 區塊鏈是什么?它對世界有什么影響_STA

區塊鏈是整個加密貨幣生態圈的底層技術和最根本的價值主張。它是比特幣的安全保障,也是以太坊智能合約的價值來源。本文旨在深入探討區塊鏈的概念、價值及其如何重塑現代社會的信任機制.

1900/1/1 0:00:00
ads