北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。
在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
安全团队:0xDc4d开头EOA地址上有可疑活动,请及时撤销代币访问权限:5月12日消息,据CertiK监测,EOA地址(0xDc4d51D732a7C8E90727eb3628c89Ef655a25EC5)上发生可疑活动。如果用户无意中授予EOA访问代币权限,请及时撤销。[2023/5/12 14:59:14]
一、事件分析
攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:
时尚杂志GQ将推出其首个NFT系列,持有者拥有多种权限:2月16日消息,时尚杂志 GQ 将发布其首个 NFT 系列,该系列 NFT 将授予持有人访问杂志订阅、商品和现场活动的权限。
据悉,该系列名为“GQ3 Issue 001:Change Is Good”,由 1,661 个 NFT 组成,每个 NFT 都允许持有者获得额外奖励,例如 GQ 杂志订阅、精选的 GQ 产品盒、独家商品和 4 月份首届 GQ3 派对的门票,以及访问特殊 Discord 频道的权利。(Coindesk)[2023/2/16 12:10:12]
Rabby Wallet新增合约权限撤销功能,支持一键撤销多个合约权限:10月28日消息,DeBank插件钱包Rabby Wallet新增合约权限撤销功能,用户可在钱包内查看所有已许可合约,并支持一键撤销多个合约权限[2022/10/28 11:51:38]
通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。
本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。
这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
标签:SIGNIGNSIGTURSignataHypersign Identity TokenFuture Finance
据dailyhodl今日消息,《经济学人》在近期的文章中称特币与传统市场的低相关性使其成为潜在的多元化的极好来源.
摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易.
据TheBlock10月19日报道,加密友好的远程招聘公司Deel在完成4.25亿美元D轮融资之后,估值已达到55亿美元.
《区块链行业观察》专栏·第51篇作者丨JoanneMolinaro,NathanA.Beaver 图片丨来源于网络 许多公司需要强大的供应链可追溯性,对于最普遍的追踪挑战.
感谢VitalikButerin、BarryWhitehat、Chih-ChengLiang、KobiGurkan和GeorgiosKonstantopoulos的审阅和真知灼见.
10月4日晚上,Facebook、Instagram和WhatsApp出现大规模宕机,据传超过15亿Facebook用户的数据正在一个流行的黑客相关论坛上出售.