8月12日,根据DAO Maker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。团队经过分析后,发现该事件的起因是私钥泄露或者内部人士所为。
通过我们的交易分析系统(https://tx.blocksecteam.com)我们发现,攻击的过程非常简单。攻击交易的hash是:
0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9
涉及到的地址:
0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者钱包
Lido DAO投票反对向Dragonfly Capital出售1450万美元的LDO代币:金色财经报道,据周一结束的投票,Lido Finance社区投票反对以1450万美元的价格向风险投资公司Dragonfly Capital出售1000万个LDO代币的提议。周一的投票以近600名DAO成员结束,代表总计4300万个Lido DAO(LDO)代币,投票反对该提案。
这个数字占所有投票的66%。同时,只有两个地址,总计2100万个LDO代币,投票支持代币销售。Token销售是Lido财务多元化提案的一部分。DAO提案要求出售2000万枚LDO代币,其中一半分配给Dragonfly。最近的投票只是为了确定是否继续向Dragonfly出售代币。[2022/7/26 2:37:27]
0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX,攻击者合约
dFuture发布DAO建设草案,进一步加强项目去中心化属性:据官方消息,去中心化合约交易所 dFuture DAO治理第一阶段今日正式启动 ,dFuture计划分三个阶段逐步实现完全的社区治理。第一阶段由社区成员提出提案草案,团队筛选出合理提案,进行DAO投票。
根据草案内容,投票权来源于在dFuture平台抵押的DFT,按照1DFT对应1票进行计票,投票结束后一周可解锁赎回DFT。dFuture是由社区发起的去中心化合约项目,目前已上线运行五个多月,完成交易金额约200亿美元,本次DAO的启动,将进一步让社区深入参与到项目的运行中,逐渐向自组织、自发治理、自行进化的社区化合约交易平台演进。[2021/8/6 1:38:55]
0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人
DeFi资产管理平台DAOventures将置换新代币DVD:官方消息,DeFi资产管理平台DAOventures宣布因受跨链资产桥ChainSwap合约漏洞影响,将于北京时间7月16日22时进行代币置换,DVG代币将换成DVD代币。DAOventures会同步在Uniswap提供流动性,供正常交易,DVDvip质押计划也会同时上线。[2021/7/16 0:57:37]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者(也是攻击者)
动态 | MakerDAO 开启第四次 DAI 稳定费提高至 4% 的治理调查:据vote.makerdao消息,MakerDAO 开启第四次 DAI 稳定费提高 4%的治理调查,3 月 22 日进行投票表决。今年 2 月以来,稳定币 DAI 在多个交易平台上的价格一直低于 1 美元,出现与美元脱离的迹象。3 月 8 日,MakerDAO 投票通过了将 DAI 的稳定费从 1.5%上调至 3.5%的提案,希望以此解决日益严峻的流动性和供需不平衡的问题,但效果持续减弱,做市商和自营交易存货量较高,因此需要继续提高稳定费。[2019/3/19]
攻击者XXX (0x1c93290202424902a5e708b95f4ba23a3f2f3cee)调用受害者钱包合约(0x41b856701bb8c24cece2af10651bfafebb57cf49)的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。
这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:
0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6
0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?
继续追踪,我们发现它的admin权限是由另外一笔交易完成的。
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。
然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。
总结一下,整个的流程是:
那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。
另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。
但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?
标签:DAO0X0TURLDODAOP币0x0.ai: AI Smart ContractTurboHEXBullDog Coin
软件平台在吞噬世界? 摘要:由区块链、分布式分类账和去中心化标识符 (DID) 等技术推动的去中心化平台在集中式平台之外提供了一种很有前景的方式。集中式平台现在已经支配了各个行业,并将权力集中到平台所有者的手中.
1900/1/1 0:00:00纵观区块链项目的进化史,改良和创新已经成为必然。前有以太坊提出智能合约带来区块链2.0与“世界计算机”,后有Polkadot以中继链共享安全建立异构分片架构。区块链从业者正以分层、算法改进等创新不断组合出了一个个面向业务的解决方案.
1900/1/1 0:00:00最近最闪耀的就是波卡生态卡槽拍卖了,其中一匹黑马就是我们之前写到的Crust,作为能参与第一批Kusama卡槽拍卖的项目,从最初不被大众看好到如今吸引了不少CRU Token质押,种种迹象都表明它的价值并非我们所看到的那样简单.
1900/1/1 0:00:00最近关于layer2的热门项目,对项目进行layer2更新的项目列表 V神之投票 Gitcoin的大动作 Celer Network:是layer2扩展平台,可将以太坊,Polkadot和其他区块链上的快速.
1900/1/1 0:00:00内因是事物发展的根据, 外因是事物变化发展的重要条件, 外因通过内因起作用。 ——唯物辩证法 当一个优质游戏的内核, 遇见区块链的外因, 它会发展到一个什么阶段?目前大热的元宇宙游戏TheSandbox也许正在回答上面的问题.
1900/1/1 0:00:00此前,volmex.finance推出了以太坊波动率指数(ETHV)和比特币波动率指数(BTCV),它们分别旨在跟踪以太坊和比特币在价内期权附近的30天隐含波动率.
1900/1/1 0:00:00