POS:Build Finance攻击事件分析-ODAILY_PRO

0x01：前言

风投DAO组织BuildFinance在社交媒体发文表示，该项目遭遇恶意治理攻击，攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

0x02：事件详情

攻击者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

流动性自动管理器ICHI加入Chainlink BUILD以获得增强访问权限:金色财经报道，Chainlink在社交平台上表示，流动性自动管理器ICHI正在加入Chainlink BUILD，以获得对Chainlink预言机服务和技术支持的增强访问权限，这有助于支持流动性管理协议Yield IQ的安全性和使用。作为回报，ICHI将向Chainlink服务提供商（包括质押者）提供其原生代币供应总量的一定比例。ICHI的使命是通过其流动性自动管理器Yield IQ提高DeFi用户的收益。[2023/8/24 18:18:30]

else{proposal

zkSync将与buidl box合作于2月20日至3月19日举办首个zkSyncEra?系列黑客松:金色财经报道，基于ZKRollup的以太坊二层网zkSync宣布将与buidl box合作开启zkSyncEra?系列黑客松中的首个，此次黑客松于2月20日至3月19日举行，专注于帐户抽象和Web3安全，奖池为2.5万美元。[2023/2/18 12:15:04]

receipt

该函数方法允许任何拥有一定数量资产的用户发起提案，持有该资产的其他用户进行投票，函数代码未发现安全问题，因此我们推测攻击者可能是通过合约发起的提案。在提案通过后，攻击者铸造了100万个BUILD代币，耗尽大部分Balancer和Uniswap流动性池的资金：

Sui基金会为表彰早期贡献者设立Builder Hero Award奖项:2月8日消息，Sui基金会宣布设立Builder Hero Award，旨在表彰早期为Sui生态系统做出贡献的社区成员，包括在Devnet上构建原型和产品、构建开发工具、帮助教育其他构建者的贡献者。

SuiNetwork将在2月17日公布获奖者并单独联系已发放奖品，最多将有15个获奖者，奖品包括一次性现金奖励、Sui Builder House邀请函和Sui礼品。[2023/2/8 11:54:26]

而在2021年1月，TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth发起提案，利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，恶意接管后铸币套现。

0x03：总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案，让自己恶意接管了治理权限，去中心化的治理实现是很有必要的，但不应该让攻击者可以利用少量投票就通过提案。

标签：OSAPOSPROSALComposable FinancePOS价格Moma ProtocolPRESALE价格

币安app官方下载最新版热门资讯