今天2月15日,先祝大家元宵节快乐!团团圆圆每一天!
而在今天凌晨时分,成都链安链必应-区块链安全态势感知平台舆情监测显示,风投DAO组织Build Finance项目遭遇治理攻击。关于本次攻击,成都链安技术团队第一时间进行了分析。
据悉,Build Finance 是一个自我描述为“去中心化风险建设者”,其目标是通过奖励代币来激励新项目。这个想法是用其原生 BUILD 代币为项目提供资金,作为回报,这些项目将采用 BUILD 代币来增加对它们的需求。此外,该项目由 DAO 维护,也就是由一个去中心化组织参与治理。
但是,黑客却悄悄搞起事情,该项目遭遇攻击者恶意治理接管,黑客通过获得足够多的投票成功控制 Build 代币合约,在三笔交易中铸造了超过10亿的BUILD 代币,并耗尽了 Balancer 和 Uniswap 流动性池中的大部分资金。事发后,该项目团队在推特建议用户不要在任何平台上购买 BUILD 代币,项目团队成员试图与攻击者进行直接对话,但对方似乎没有兴趣对话。
Kaiko推出市场数据产品跟踪Aave、Compound和MakerDAO:金色财经报道,加密数据提供商Kaiko推出市场数据产品跟踪DeFi借贷协议Aave、Compound和MakerDAO。根据Kaiko数据,这些协议目前持有约150亿美元,占借贷协议锁定的全球流动性总额的78%以上。Kaiko新产品将跟踪借款、存款、还款、取款和清算,可用于监控借贷市场、优化交易策略、分析收益和跟踪钱包动向等。
Kaiko市场数据董事总经理Philippe Redaelli表示,FTX的崩溃导致DeFi协议的使用增加,由于DeFi协议提供的透明度和金融机会,现在比以往任何时候都更需要这些协议。(the block)[2022/11/29 21:10:08]
看来项目方又遇到了一位“任性”的黑客。下面,跟着我们来看一下事件具体分析过程。
Round 1
通过对项目的交易追踪,我们发现2022年2月12日Build Finance?项目被攻击者窃取了治理权限,接着向0xdcc8A38A地址分三次铸造了超过10亿的BUILD代币。
Kapital DAO完成新一轮融资,Polygon Ventures、Solana基金会等参投:9月24日消息,Web3游戏资产管理去中心化自治组织Kapital DAO宣布完成新一轮融资,具体金额暂未披露,Polygon Ventures、Algorand基金会、HBAR基金会、Solana基金会、NEAR、Yield Guild Games(YGG)、Samsung NEXT、GSR、Wintermute Ventures、Keyrock、Portofino等参投。
据悉,Kapital DAO通过可扩展和去信任的运营基础设施帮助游戏玩家高效管理Web3资产,目前已与Splinterlands、Shrapnel和Blocklords达成游戏战略合作伙伴。(PRNewswire)[2022/9/24 7:18:21]
NirvanaDAO与新加坡Want_ Group达成战略合作:据官方消息,NirvanaDAO与新加坡Want_ Group达成区块链WEB3领域战略合作,共同打造基于Nirvana Chain应用公链技术新一代WEB3搜索引擎+SocialFi项目。搜索引擎将把所有流量、所有隐私、所有收入交给所有用户,区块链WEB3提倡的价值互联网、读写和拥有。[2022/3/23 14:14:13]
然后0xdcc8A38A地址将这10亿代币通过Uniswap V2: BUILD兑换将项目方的交易池掏空。
观察交易细节后,我们发现调用Build 代币合约mint函数铸币的地址也为0xdcc8A38A。
Aelin Protocol利用Synthetix治理框架启动其DAO:12月3日消息,基于以太坊的交易协调协议Aelin Protocol利用Synthetix治理框架启动其DAO。Aelin DAO最初将由拥有5名成员的委员会组成,负责招募贡献者,引导协议进入v2和资金管理等。该委员会将由Synthetix持有者根据其加权债务投票。
此外,Aelin将以3000万美元的FDV(完全摊薄估值)推出AELIN代币,并对通过协议获得的所有交易收取2%的费用。AELIN总供应量为5000枚,其中只有1250枚在发布时具有初始流动性。[2021/12/3 12:48:49]
接着往下看,我们观察下图项目方的合约代码发现调用mint函数的地址只能为governance地址。此时铸币的地址为0xdcc8A38A,也就是说合约现在的governance权限已经被0xdcc8A38A地址获取了。
从代码中可以看到原本的governance权限属于合约的创建者即下图的0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172地址。
SingularityDAO任命Chris Poulin为CTO和AI主管:8月25日消息,DeFi投资组合管理公司SingularityDAO已经任命研究科学家Chris Poulin为新的首席技术官和人工智能主管,Poulin将负责开发SingularityDAO的DynaSets,这是一个由人工智能驱动的系统,用于建立一个精心策划的加密货币投资篮。DynaSets在一份合同中持有DeFi代币的集合,使投资者能够更容易地管理他们的投资组合。工作内容还包括为DeFi领域开发新的人工智能驱动的产品。(cointelegraph)[2021/8/25 22:37:13]
我们不禁要问,那么governance权限是如何转移到0xdcc8A38A上的呢?
Round 2
通过排查,我们通过2020年9月4日的一笔交易发现了线索,攻击者只有通过setGovernance函数才能窃取governance的权限。那么在这期间合约创建者0x2Cb037BD一定使用了setGovernance函数进行了权限转移。
通过查找0x2Cb037BD地址的交易记录可见,在同一天创建者使用了setGovernance函数。交易hash为0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。
通过查找内部的Storage可见权限转移给了0x38bce4b45f3d0d138927ab221560dac926999ba6地址而不是上述的0xdcc8A38A攻击地址。交易哈希为:0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。
通过继续跟进0x38bce4b地址,发现是一个Timelock合约,而合约中可以调用build 代币合约函数的setGovernance函数只有executeTransaction函数。
我们跟进executeTransaction函数找到了其中的Storage。
从上图可见0x38bce4b45f3d0d138927ab221560dac926999ba6地址将权限又转移到了0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址,交易哈希为0x9a0c9d5d3da1019edf234d79af072c1a6acc93d21daebae4ced97ce5e41b2573,调用时间为2021年1月25日。
通过继续跟进0x5a6ebeb6地址,在下图可知在2022年2月9日由suho.eth发起的提案,0xdcc8A38A攻击地址在2022年2月11日投票通过。在4天前将governance权限变更为0xdcc8A38A。
suho.eth发起的提案变更governance,投票设置的阈值较低导致提案通过,通过call调用将build合约的governance更改为0xdcc8A38A地址。
0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址部分代码。
此地址获取governance权限后,0xdcc8A38A地址通过build 代币合约的mint函数向本身铸造了大约10亿的build代币,随后去交易池掏空流动性。
获取权限的流程图为:
攻击者利用类似的手法,从另外一个治理合约中转走了该治理合约所持有的代币资产。本次获利共162个ETH、20014个USDC 481405个DAI、75719个NCR约为112万美元。
最后,成都链安提醒:DAO合约应该设置合适的投票阈值,实现真正的去中心化治理,避免很少的投票数量就使得提案通过并成功执行,建议可以参考openzeppelin官方提供的治理合约的实现。
标签:NCEANCDAONAN币安binance官网WallStreet.FinanceStakerDAOCold Finance
原标题:本文由“老雅痞laoyapicom”授权转发整个加密货币市场的TVL总额超过了2000亿美元,相比于一年前同时段的500亿美元增长4倍。然而,即使这种增长也大大低估了DeFi的真正潜力.
GameFi赛道发展到如今,市面上的一些项目是无法满足玩家们的需求的。根据《DappRadar行业报告2021年第三季度概览》显示,NFT空间在第三季度产生高达了106.7美元的交易量,足足比上.
12月初BINANCE Gamefi赛道的一个大空投莫过于blocwars的首发福利活动:“向3,000名社区成员赠送10,000美元的$IPTK!”一时点燃了“羊毛党”的热情.
以太坊正在经历从PoW(工作量证明机制)向PoS(权益证明机制)的转型,当以太坊2.0到来后,权益质押者将取代当前的矿工,充当网络中的验证者角色.
一、My Neighbor Alice我的邻居爱丽丝游戏介绍My Neighbor Alice 是一款基于区块链的多人建造游戏,玩家被邀请购买虚拟岛屿、收集和建造令人兴奋的物品并结识新朋友.
说起BitTorrent,很多人会觉得陌生。但提到下载“种子”,相信不少人能回想起几年前为了玩游戏或看电影在网络上到处“求种子”的情景,这里的种子就是BitTorrent的下载术语.