权限攻击：DAO Maker被黑事件分析

摘要:本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。北京时间8月12日，DAOMaker遭到黑客攻击，大量用户充值的USDC被转出并换成约2261个以太坊，损失超过700万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。

The Sandbox：第三方盗取员工计算机权限，向用户发送包含恶意链接的电子邮件:3月2日消息，The Sandbox 发文表示，2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限，并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为“The Sandbox Game (PURELAND) Access”的电子邮件包含指向恶意软件的超链接，能在用户的计算机上远程安装恶意软件，从而授予其对计算机的控制权和对用户个人信息的访问权。

The Sandbox 表示，在发现未经授权的访问后，已通知收件人，并封禁了该员工的帐户和对 The Sandbox 的访问，目前还没有发现任何进一步的影响。[2023/3/2 12:38:31]

时尚杂志GQ将推出其首个NFT系列，持有者拥有多种权限:2月16日消息，时尚杂志 GQ 将发布其首个 NFT 系列，该系列 NFT 将授予持有人访问杂志订阅、商品和现场活动的权限。

据悉，该系列名为“GQ3 Issue 001：Change Is Good”，由 1,661 个 NFT 组成，每个 NFT 都允许持有者获得额外奖励，例如 GQ 杂志订阅、精选的 GQ 产品盒、独家商品和 4 月份首届 GQ3 派对的门票，以及访问特殊 Discord 频道的权利。（Coindesk）[2023/2/16 12:10:12]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析，其他的都是一样的攻击方式。

金融科技公司Plaid已暂停FTX检索用户数据的权限:11月13日消息，据官方公告，金融科技公司Plaid已于PT时间11月11日22:30暂停FTX对Plaid产品的访问，这意味着FTX无法通过Plaid检索用户的任何财务数据。

据悉，Plaid产品能让FTX.US用户将银行账户连接到FTX App，这将允许FTX.US请求执行由ACH网络处理的支付操作。

据此前报道，Web3社区项目gm.xyz联合创始人Mike McGuiness发推称，若存在与FTX US关联的银行账户，请立即更改银行账户密码并停止共享数据。Mike McGuiness表示，其银行账户曾被FTX US尝试访问。随后其推文被CZ转发。（Cointelegraph）[2022/11/13 12:57:50]

李林：不再是Huobi Global实控人与股东也不再拥有任何权限:金色财经报道，Huobi创始人李林在社交媒体发文，表示自己不再是Huobi Global实控人与股东，也不再拥有任何权限。

此前报道，Huobi Global控股股东完成股份出售。百域资本旗下并购基金成为Huobi Global的第一大股东和实控人。[2022/10/8 12:49:22]

通过交易记录发现，DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易，将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1，这350名受害者地址以数组的形式传入交易的inputdata。

声音 | 慢雾科技余弦：攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称，前些天有人的 Coinbase 账号遭遇了 SIM Port Attack（SIM 卡转移攻击），损失了超过 10 万美金的数字货币，很惨痛。攻击过程大概是：攻击者通过社会工程学等手法拿到目标用户的隐私，并到运营商得到一张新的 SIM 卡，然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了，这就很麻烦了，基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证，这是一个非常中心化的认证方式，手机号成为攻击的弱点。这个攻击以前在国内也有不少案例，运营商的风控策略也越来越强大，但策略这东西总是有绕过方式，这种方式主要就是社会工程学，当然也不排除其他方式的结合。不是我不信任运营商或中心化服务，而是这种重要的资产，大家要更加谨慎了，大额的数字货币是不是应该有更安全的存放方式？相关平台的安全风控策略是不是也该多琢磨如何再提升提升？[2019/5/27]

对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下：

可以看到只有msg.sender即：攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现：122天前合约部署人给现任管理员授权；

而后，一天前现任管理员创建攻击合约XXX。

现任管理员给攻击合约XXX授权。

随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC，将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作！！！攻击者获得现任管理员的控制权；?管理员创建了攻击合约XXX并对其授权；DAOMakerExploiter1调用攻击合约XXX获利。因此，本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。二、安全建议SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：AOMOMAMakerDAOAOM价格COMAmakerdao是什么意思facedao币怎么样

KuCoin热门资讯