0x01:前言
风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
0x02:事件详情
攻击者Suho
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
Sui Network公布20个Sui Builder Hero获奖者名单:2月22日消息,公链项目 Sui Network 公布 20 个 Sui Builder Hero 获奖者名单,除现金奖励外,该奖项还包括 Sui Builder Houses 的邀请函和 Sui 礼品。
获奖项目包括去中心化交易平台 Aftermath、Launchpad 平台 BeLaunch、BlueMove、Capsule、去中心化交易平台 Cetus、品牌服务 Cramium、钱包 Ethos 、NFT 市场 Keepsake、Kuna Labs、MovEX、OriginByte、OtterSec、Polymedia、PySui、Sui Gallery、Suia、钱包 Suiet、域名服务 SuiNS、区块浏览器 Suiscan、预言机 Switchboard。[2023/2/22 12:21:42]
else{proposal
Axie Infinity推出Builders Program计划,旨在进一步提升游戏体验:1月21日消息,P2E游戏Axie Infinity官方宣布推出Builders Program,并提供总计5000枚AXS支持该计划,旨在为社区开发者提供资源、推广、支持和工具以进一步提升Axie Infinity的游戏体验。据Axie Infinity透露,凡是入选的项目至少可以获得价值5000美元的AXS捐赠,还能得到SkyMavis游戏设计和产品的指导,以及Ronin Network测试网、SSO和钱包集成等支持。[2022/1/22 9:05:16]
receipt
区块链开发工具提供商Alchemy推出区块链开发套件产品AlchemyBuild:总部位于旧金山的区块链基础设施和开发工具提供商Alchemy推出区块链开发套件产品AlchemyBuild,该套新工具旨在减少区块链开发人员专注于核心产品,尽可能减少与产品本身无关的问题上花费的开发时间。此前报道,Alchemy于去年底完成由PanteraCapital领投的A轮融资,该公司的其他投资者还包括斯坦福大学、Coinbase、Mayfield、SignalFire、Samsung、StartX、Kenetic、Dreamers,此外参与投资的还有一些著名的个人投资者,包括嘉信理财集团创始人、谷歌董事长JohnHennessy、LinkedIn创始人ReidHoffman、汤森路透前首席执行官TomGlocer、Yahoo雅虎创始人杨致远。[2020/7/10]
该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:
而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。
0x03:总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。