NFT:权限攻击：DAO Maker再次被黑事件分析_TATECEO币

北京事件9月4日，NFT赛马项目DeRace受到黑客攻击，在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击，导致400万美元的损失。

在此之前，北京时间8月12日，DAOMaker就已遭到类似黑客攻击，也是由于权限管理不当受到攻击，损失超过700万美元。累计已因为类似的权限管理不当问题，损失了超过1000万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

李林：不再是Huobi Global实控人与股东也不再拥有任何权限:金色财经报道，Huobi创始人李林在社交媒体发文，表示自己不再是Huobi Global实控人与股东，也不再拥有任何权限。

此前报道，Huobi Global控股股东完成股份出售。百域资本旗下并购基金成为Huobi Global的第一大股东和实控人。[2022/10/8 12:49:22]

一、事件分析

攻击者以相同的攻击手法进行多次攻击，以DeRace?Token(DERC)被攻击进行分析：

Visor Finance攻击事件报告：黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称，攻击者获得了一个管理帐户的访问权限，能够从尚未存入流动性提供者头寸的存款中提取资金。报告称，被盗金额约占其300万美元TVL的16.7%（约合50万美元），并证实该黑客并非团队成员，因此对其紧急提款保障措施缺乏充分了解，被盗资金仅限于未配置的资产。（BeInCrypto）[2021/6/21 23:53:12]

逾千名推特员工拥有内部权限，可协助黑客入侵帐户:两位推特前员工透露，截至今年年初，共有超过 1000 多名员工员工和承包商可以使用内部工具更改用户帐号设置，并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。推特公司和美国联邦调查局正在调查这起黑客入侵事件。推特拒绝对这一数字发表评论，也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示，正在物色新的安全主管，希望加强系统安全，并培训员工防范外部攻击。（路透）[2020/7/24]

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现，该合约只是起到代理的作用，只有一个fallback函数，将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同，但是都是用的相同的智能合约来将发来的请求！。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6，在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中，似乎并没有对msg.sender的身份进行确权操作。因此，使得攻击者成为0x2fd6的owner，随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数，进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的，因此攻击者依次使用相同的攻击手法进行攻击，最后兑换成了DAI，攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击，虽然声称经过了多家不同安全公司的审计工作，但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：NFTTECSWAGWAGBNFT价格TATECEO币SWAG币WAGMI

MEXC热门资讯