摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
The Sandbox:第三方盗取员工计算机权限,向用户发送包含恶意链接的电子邮件:3月2日消息,The Sandbox 发文表示,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为“The Sandbox Game (PURELAND) Access”的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。
The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。[2023/3/2 12:38:31]
PeckShield:检测到BMIZapper存在漏洞,用户最好及时撤销ETH配额和权限:3月30日消息,PeckShield发推表示,检测到BMIZapper存在一个漏洞,提醒用户及时撤销ETH配额和权限。撤销方法如下:1.转到revoke.cash;2.连接钱包,检查余额;3.搜索0x4622aff8e521a444c9301da0efd05f6b482221b8,看看是否有批准;4.如果有请及时撤销批准。[2022/3/30 14:26:13]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
SpiritSwap:用户需要撤销当前的inSPIRIT合约权限,但资金没有风险:金色财经消息,Fantom生态去中心化交易协议SpiritSwap发推表示,inSPIRIT合约出现问题,因此需要用户撤销当前的inSPIRIT合约权限,但用户资金没有风险。[2022/3/16 14:00:11]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
Optimism 宣布取消白名单,将完全开放部署应用程序权限:12月17日消息,Optimism今日宣布已取消白名单,从今日起任何人都可在Optimism系统上自由部署合约、构建应用程序,未来升级将保留所有状态、交易历史和事件数据。Optimism官方表示:“取消白名单加上EVM 等效升级的完成意味着 Optimism 比以往任何时候都更容易获得。权力下放是一个具有挑战性且循序渐进的过程。无需许可的合约部署使我们离真正开放、可访问、积极的以太坊愿景更近了一步。”
11月,Optimism 宣布正式上线 EVM (以太坊虚拟机)等效性,简化了开发者的开发过程以及降低交易费用。[2021/12/17 7:45:26]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
9月28日,美联储主席杰罗姆?鲍威尔在国会听证会上表示,美联储应该与国会合作创建数字美元。 鲍威尔在参议院银行委员会发表讲话时表示,虽然现有的管理美联储活动的法律可以作为发行美元数字化版本的基础.
美国财政部发布了一份关于制裁的审查报告,并建议政府在开发数字资产方面的基础设施和制定政策方面做更多工作.
阿拉伯联合酋长国,简称“阿联酋”,是一个由阿布扎比、迪拜、沙迦、富查伊拉、乌姆盖万、阿治曼和哈伊马角这7个酋长国家组成的联邦国家.
最近一段时间,产业区块链如火如荼。一个月前,“星火杯”区块链应用大赛、第五届中国区块链开发大赛纷纷拉开帷幕。上周,BSN全球合作伙伴大会在杭州举办.
Web3.0项目MaskNetwork在推特上宣布获得Filecoin开发公司ProtocolLabs的战略支持.
据Coinnounce10月2日报道,美国商品期货交易委员会(CFTC)破获了一起大规模的外汇和比特币交易局,并对八名实施该计划的个人提起民事执法指控.