宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 火必 > 正文

BlockSec:DAO Maker 700万美元被盗事件解析

作者:

时间:1900/1/1 0:00:00

本文来自BlockSec,Odaily星球日报经授权转载。8月12日,根据DAOMaker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。BlockSec团队经过分析后发现,该事件的起因是私钥泄露或者内部人士所为。攻击过程

根据我们的交易分析系统我们发现,攻击的过程非常简单。攻击交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者钱包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻击者合约;0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者。

比特币矿企Blockmetrix完成2000万美元债务融资,BankProv和CrossTower参投:4月27日消息,总部位于美国德州达拉斯的比特币矿企 Blockmetrix宣布完成 2000 万美元债务融资,加密友好商业银行 BankProv 和数字资产交易平台 CrossTower 参投。新资金将用于扩大其业务,包括购买更多的矿机和投资合资企业 (JV) 以建设基础设施。

此前报道,3月8日,Blockmetrix宣布完成 4300万美元B轮融资,投资方主要来自于美国、澳大利亚和几个亚洲国家,截止目前该公司的融资总金额已经达到 5000万美元。Blockmetrix 计划利用这笔最新融资采购 5000台矿机,同时控制电力成本来实现快速增长。[2022/4/27 2:34:56]

声音 |Juniper Research: 65%的美国企业更青睐IBM Blockchain而不是微软:据cryptodaily消息,据Juniper Research于2018年9月的调查显示,65%的受访者会选择IBM Blockchain来部署分布式账本技术(DLT)和类似的解决方案。亚军微软仅获得7%的选票,名单上的其他公司还包括埃森哲,德勤和甲骨文。在企业区块链解决方案方面,IBM最受企业美国人的信任。

同样的调查发现,如果公司要部署分散式应用程序(Dapp)和相关解决方案,那么美国公司绝大多数都更喜欢以太坊网络,该平台获得近50%的选票。[2018/9/23]

攻击者XXX调用受害者钱包合约的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。

动态 | 前花旗银行人力总监James Mendes入职Block.one:Block.one官方近日发布公告,宣布前花期银行的人力总监James?Mendes将成为该公司的首席人力官。[2018/7/12]

0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?继续追踪,我们发现它的admin权限是由另外一笔交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。

Internet of Blockchains项目Polkadot启动了概念验证:据coindesk消息,Parity Technologies and Web3 Foundation在周三宣布了他们的区块链操作协议:Polkadot的第一个概念验证(PoC)。该技术由以太坊合伙创始人Gavin Wood开发,旨在允许链之间相互通信,同时还可以在没有全系统升级或硬分叉的情况下自动升级。此外,他们计划在2019年第三季度正式启动Polkadot网络。[2018/5/17]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。

总结一下,整个的流程是:

那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。其他

另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。

但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?最后

最近区块链安全接连出现大的安全事件,包括PopsicleFinance双花攻击分析和PolyNetwork攻击关键步骤深度解析,损失在几百万美金到数亿美金之间。项目方如何提高安全意识,保护好代码安全和资产安全,正是BlockSec团队希望和社区一起能解决的问题。只有把安全做好,DeFi的生态才能更健康有序发展。

标签:BLOBLOCBLOCKLOCKProvenance BlockchainThe Whale of Blockchainblockchain钱包是哪个国家的AllianceBlock

火必热门资讯
SEC新掌门:拒绝批准比特币ETF,DeFi平台或将受到监管

在华盛顿、华尔街和硅谷,搞清楚美国证券交易委员会(SEC)主席GaryGensler对加密货币的立场已经成了一场猜谜游戏。加密行业游说者收看他在国会的作证。律师们分析他的演讲.

1900/1/1 0:00:00
速览NFT头像FOMO潮:近7天交易量平均激增259%,成交均价普涨402%

NFT的火热行情从加密艺术和元宇宙“烧”到了头像。根据DuneAnalytics的数据,最大的NFT交易市场OpenSea在8月创下了约34.25亿美元的历史成交记录,环比增幅高达950%.

1900/1/1 0:00:00
登顶OpenSea日交易榜,Paradigm正疯狂扫货的Parallel是何来历?

本文来自:头等仓,Odaily星球日报经授权转载。编者按:8月20日,一款名为Parallel的NFT卡牌游戏在近24小时内1912枚ETH的交易量登顶OpenSea交易排行榜,力压CryptoPunks、BAYC、PudgyPeng.

1900/1/1 0:00:00
美国SEC开出首例DeFi罚单,「狂野西部」闪红灯

在美国证券交易委员会主席GaryGensler发表了题为《加密货币与国家安全》演讲的3天后,SEC在官网发布了首例针对DeFi平台监管的案例。一个名为DeFiMoneyMarket的平台发行了mToken代币和治理代币DMG.

1900/1/1 0:00:00
Glassnode:比较几种DeFi治理代币估值法

ETH持续上涨,链上活动也出现了增长,这很大程度上是由新NFT系列的推出和市场热度推动的。在这篇文章中,我们将探讨:EIP-1559推出后的初步效果;探索治理代币的相对估值模型;使用链上数据评估整个领域的代币估值.

1900/1/1 0:00:00
「撕裂」 NFT 之后,社区激辩 NFD丨目击

前日,这张图片刷屏了加密社区: 23日,path.eth/img/20230508220718114791/2.jpg "/>Robinhood宣布成立子公司Sherwood Media:金色财经报道.

1900/1/1 0:00:00