链资讯 链资讯
Ctrl+D收藏链资讯
首页 > DOGE > 正文

DAO Maker被盗事件分析

作者:

时间:

8月12日,根据DAO Maker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。团队经过分析后,发现该事件的起因是私钥泄露或者内部人士所为。

通过我们的交易分析系统(https://tx.blocksecteam.com)我们发现,攻击的过程非常简单。攻击交易的hash是:

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

涉及到的地址:

0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者钱包

0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX,攻击者合约

现货白银短线上扬近0.2美元:行情显示,现货白银短线上扬近0.2美元,报22.45美元/盎司,涨1.58%。[2021/12/16 7:44:22]

0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者(也是攻击者)

攻击者XXX (0x1c93290202424902a5e708b95f4ba23a3f2f3cee)调用受害者钱包合约(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。

OKEx拟为XRP持仓用户空投Spark (SPARK):11月30日,OKEx官方公告称,将支持为XRP持仓用户空投Spark代币SPARK。空投具体时间安排如下:

1、2020年12月11日20:00 (HKT) 暂停XRP充值功能和提现功能,交易功能则不受影响。

2、2020年12月12日08:00 (HKT) 对XRP持有用户进行资产快照,记录用户XRP持仓。

用户获得SPARK的分发数量 = OKEx获得的SPARK数量 * 用户XRP持仓占比,其中用户XRP持仓占比=用户XRP持仓数量 / OKEx总XRP持仓数量。

OKEx平台表示,SPARK代币的分发时间暂定为2021年上半年,待平台收到SPARK空投后进行分发,分发完成后,OKEx将发布进一步开放充提功能并以公告形式另行通知。详情点击原文链接。[2020/11/30 22:34:50]

这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?

继续追踪,我们发现它的admin权限是由另外一笔交易完成的。

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。

然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。

总结一下,整个的流程是:

那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。

另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。

但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?

标签:0X0XRPSPASPARK0x0.ai: AI Smart Contractxrp币可以投资吗SpaceMineSparkle

DOGE热门资讯
「 赛博西游 · 心游记」NFT 盲盒购买教程

Cyber Journey盲盒 888个限量发行 9月8号15:00将在Mynft.io开售 9月8号,赛博数字实验室(Cyberpunk Lab)将在Mynft平台上线Cyber Journey 盲盒NFT。

掌柜调查署 | 引领游娱产业革新升级

New Loot 是社区玩家基于 ETH 链创建的元宇宙游戏的基础设施。它从 loot 项目中分叉出来,并在loot的基础上进行完善,具有更强的可拓展性。如今, New?Loot?的生态正在蓬勃发展中。

Kava Swap今晚启动:对 Kava 生态影响几何?又如何保障安全?

Kava Labs 将在今晚伴随着 Kava 8 主网一同启动跨链 AMM 协议 Kava Swap,还将开启 100 万枚 SWP 空投计划。 虽然流动性挖矿的诞生被视作是 DeFi 的第一,但帮助 DeFi 在短短一年的时间里从不温不火摇身一变成为撬动千亿美元资本新宠的,其实还有打通 DEX 任督二脉的自动做市商(AMM)机制。

NFT Studio:DFINITY与其他NFT市场的桥梁

DfinityBase发掘Dfinity生态优质项目 NFT Studio开发跨链建设项目的目标是实现区块链之间的互操作性,以便在它们之间传输 NFT。NFT Studio允许用户在DFINITY上铸造、购买、出售和抵押3DWASM NFT。 各个区块链是孤立开发的,因此它们之间无法有效通信。

以Starcoin为例 解析区块链项目如何利用PoW做组合创新?

纵观区块链项目的进化史,改良和创新已经成为必然。 前有以太坊提出智能合约带来区块链2.0与“世界计算机”,后有Polkadot以中继链共享安全建立异构分片架构。 区块链从业者正以分层、算法改进等创新不断组合出了一个个面向业务的解决方案。为去中心化世界带来去中心化商业的基础设施,带来传统业务在去中心化世界标准化复制的机会。

rarity.tools:你知道你的NFT有多稀有吗?

经历过短暂的沉寂后,NFT 再度变得火热起来。据 Dune Analystic 数据显示,在 2021 年 3 月第一波 NFT 热潮过后,全球最大的 NFT 交易平台 OpenSea 月度交易额下跌近 36%,随后逐渐回暖,并在 6 月一举扭转颓势,单月交易额近 1.5 亿美元,创历史新高,NFT 交易量与 5 月相比几乎翻了三倍。