链资讯 链资讯
Ctrl+D收藏链资讯
首页 > FIL > 正文

ANC:Build Finance攻击事件分析_NAN

作者:

时间:

DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

该合约线上提案投票地址?https://snapshot

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

Sui基金会举办的Sui Builder House香港站活动已收官:金色财经报道,由Sui基金会举办的Sui Builder House香港站活动已收官,为期三天,其中最后一场活动Sui Demo Day旨在为Sui生态中的新老项目提供展示项目的平台,共吸引了超过40个团队报名参赛。本次Demo Day分为NFT和游戏、基础设施和开发工具、DID&治理和社交、DeFi和支付四个主要赛道。[2023/4/17 14:07:36]

else{proposal

Web3技术公司Virtual Nation Builders宣布收购FHM公司:金色财经报道,Web3 技术公司Virtual Nation Builders表示,它收购了FHM公司,该公司创建了南非第一个在全球交易所上市的工作证明加密货币safcoin。作为Web3公司收购FHM的结果,该加密货币现在将 \"上市并将其所有数字用例和平台合并到新的VNB建立的Cowrie交易所和伙伴关系中\"。[2022/9/19 7:04:50]

receipt

现场 | DIGIBUILD联合创始人:2026年后将见证区块链行业成熟:据cointime.com现场报道,今日在2018西雅图区块链大会上,DIGIBUILD联合创始人兼首席执行官Robert Salvador表示,区块链可以通过释放资金,降低交易成本,加快流程和提供安全性和信任使企业受益。 Salvador预测,2018年到2020年,整个行业将继续推出加密用例,进行更多的案例研究和早期采用;2021年到2025年,早期采用者和标准活动将提供更大的清晰度,并最大限度地减少不确定性,这将推动广泛的采用; 2026年及以后将见证区块链行业的成熟,区块链将被广泛采用并被视为供应链和生态系统的一个组成部分。[2018/8/22]

该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:

随后又通过治理合约控制平衡池,耗尽包括13万METRIC代币在内的其他数字资产:

最后丧心病狂的铸造了一亿个Build,出售给任何还存在流动性的池子:

目前还未确定攻击者发起通过的提案内容,但根据通过提案后的铸币行为,跟进到代币合约0x6e36556b3ee5aa28def2a8ec3dae30ec2b208739:

addresspublicgovernance;constructor()publicERC20Detailed("BUILDFinance","BUILD",18){governance=msg

functionmint(addressaccount,uintamount)public{require(msg

functionsetGovernance(address_governance)public{require(msg

合约在初始化的时候会设置合约拥有者为治理者,并且只有治理者可以发起铸币请求,而只有治理者才能调用setGovernance函数更换治理者,因此可以确定,攻击者发起的具体提案为更换治理者。

在创建合约的时候,治理者为0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172,也就是合约部署者,他在部署合约后将治理者更换为TimeLock合约0x38bce4b45f3d0d138927ab221560dac926999ba6:

而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:

最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。

0x03:总结

经过完整分析,知道创宇区块链安全实验室?明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。

标签:ANCNCENANBUILDYoco FinanceVince ChainMinions FinanceBUILD Finance

FIL热门资讯
FIN:撸毛旅程分享:五种项目类型梳理教你如何获取财富密码_ALF价格

原文作者:@0xFeng趁着这鸡肋无趣的行情记录/分享一下我这一年多来的撸毛旅程,有收获,也有心酸。主要也是为了复盘过往、吸取经验教训来展望未来.

Gate.io HODL & Earn: Lock ADP To Earn 100% APR(Phase 1)

TheLockADP&Earn#1(term14days)willlaunchat8:00UTConFeb19atGate.io''s“HODL&Earn”section.

TPS:2022/2/17 元宵佳节天天红包礼中奖名单_SDT

尊敬的WEEX用户您好! 元宵佳节千金礼 活动四:天天红包礼 活动方式: 活动期间每天抽出10位有完成合约交易的用户随机送8、18、38、68、88USDT,周一至周五不限币种.

ANC:ZT創新板即將上線MNFT_pancakeswap币种价格

親愛的ZT用戶: ZT創新板即將上線MNFT,並開啟MNFT/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月22日16:30; MNFT Sui基金会举办的Sui Bu.

KEX:BKEX Global 关于上线 DPX(Dopex) 并开放充值功能的公告_有多少人被okex被过

尊敬的用户:?????????BKEXGlobal即将上线DPX,详情如下:上线交易对:DPX/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2022年2月20日15.

TPS:新用户暂时无法使用TRX充值渠道公告(已恢复)_HTT

尊敬的WEEX用户您好!因当前平台充值渠道维护,于2022/02/17后注册的部份新用户暂时无法使用TRX渠道,待升级完成后我们将第一时间恢复,具体时间将以公告另行通知.