北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。
在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。
神鱼:中心化Staking机构需复审下私钥保管及有权限人员状态,制定紧急事件预案:金色财经报道,Cobo联合创始人兼CEO神鱼发推表示,伴随着上海升级的临近,对于机构,尤其是提供中心化staking的机构,需要reviewer下私钥保管方式及相关有权限的人员状态,检查下服务器日志,监控后续提现状态,制定紧急事件预案。[2023/4/9 13:52:56]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
荷兰法官获得Tornado Cash开发人员Alexey Pertsev电脑访问权限,将调查其隐私服务的治理和盈利情况:金色财经报道,荷兰检察官近期获得Tornado Cash开发人员Alexey Pertsev笔记本电脑的访问权限,并用它来调查关键细节,例如隐私服务的治理和盈利情况,他个人是否从隐私服务中获利。检察官Martine Boerlage表示,从第一次扫描可以明显看出,嫌疑人在不同的地方和节点上仍然有钱包。Pertsev 是否??在网络中担任中继,短期内将变得更加清晰。据悉,对Alexey Pertsev的审判将于4月20日继续进行。[2023/2/16 12:11:46]
攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:
SumSwap将于7月16日向所有用户开放交易对创建权限:据官方消息,数学创新型去中心化协议SumSwap将于伦敦时间7月16日向所有用户开放交易对创建权限,该权限开放后,任何人将能在SumSwap创建ERC20币种的交易对。对于一些交易量大的交易对,SumSwap还将投票奖励其交易对LP Token挖SUM的份额。
?SumSwap是英国区块链技术公司打造的一款去中心化项目,该项目是用数学方法对市场上多个DeFi进行整合而打造的数学创新型DeFi。[2021/7/14 0:51:45]
特朗普把“居家隔离令”权限交给州长来决定:美国总统特朗普当地时间4月3日在白宫新冠肺炎疫情简报会上再次表示,他反对发布全国性的“居家隔离令”。当被问及是否赞成美国国家过敏症和传染病研究所主任安东尼·福奇关于所有州实施“居家隔离令”的提议时,特朗普回答称,“我把这个交给州长来决定。州长知道他们要做什么。”(CNN)[2020/4/4]
通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。
本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。
这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
WeiDai是中本聪之后就比特币接触的第一批人之一,他是“LessWrong”的经常性贡献者。哈尔·芬尼也是这样的人,他是中本聪之外第一个进行比特币交易的人.
1900/1/1 0:00:00据DailyHodl报道,根据一项新研究,在过去一年中,智能合约平台Cardano(ADA)和Avalanche(AVAX)在其GitHub提交数量方面都出现了激增。2019年6月至2020年5月和2020年6月至2021年5月.
1900/1/1 0:00:00原标题:《元宇宙漫游手册:新经济,新产业》What?元宇宙核心是什么?Who?谁在构建元宇宙?How?元宇宙有哪些应用?虚拟环境,虚拟化身,虚拟现实。此前,元宇宙是科幻小说中的一个概念。如今,正渐渐成为现实.
1900/1/1 0:00:00巴比特讯,据慢雾区情报,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家.
1900/1/1 0:00:00巴比特讯,CoinGecko数据显示,在其收录的NFT收藏类项目中,以地板价和总量的乘积为市值算,市值前三项目分别是BoredApeYachtClub、Loot和MutantApeYachtClub.
1900/1/1 0:00:00巴比特讯,9月22日消息,Uniswap发布产品更新计划,将Uniswap在OptimisticEthereum和Arbitrum上的部署从Alpha版过渡到了Beta版,用户能够直接在Uniswap中无缝访问所有支持的网络.
1900/1/1 0:00:00