ASH:权限攻击:DAO Maker再次被黑事件分析

北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。

在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。

CMS Strapi存在可接管Admin账号权限等漏洞:4月23日消息,慢雾研究员IM_23pds发推表示,开源无头CMS Strapi发布安全提醒,攻击者可以利用已知漏洞接管Admin账户或RCE接管服务器权限。虚拟货币行业有大量项目方使用此产品,请立即升级。[2023/4/23 14:21:18]

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

荷兰法官获得Tornado Cash开发人员Alexey Pertsev电脑访问权限,将调查其隐私服务的治理和盈利情况:金色财经报道,荷兰检察官近期获得Tornado Cash开发人员Alexey Pertsev笔记本电脑的访问权限,并用它来调查关键细节,例如隐私服务的治理和盈利情况,他个人是否从隐私服务中获利。检察官Martine Boerlage表示,从第一次扫描可以明显看出,嫌疑人在不同的地方和节点上仍然有钱包。Pertsev 是否??在网络中担任中继,短期内将变得更加清晰。据悉,对Alexey Pertsev的审判将于4月20日继续进行。[2023/2/16 12:11:46]

攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:

ETC Thanos升级:恢复3GB和4GB GPU矿工挖矿权限:11月9日晚间,以太经典(ETC)发文宣布正在进行代号为 Thanos(ECIP-1099))的网络硬分叉升级。本次升级决定将Ethash epoch持续时间从30000块翻倍至60000块,有效减小了DAG的大小。这种修改的Ethash也被称为 EtcHash。这将允许拥有3GB和4GB GPU系统的矿工恢复挖矿等,增加安全性并促进一个更去中心化和健康的挖矿生态系统。

昨日晚间消息,ETC宣布为Thanos硬分叉做准备,主网或将于11月28日(11700000区块高度)启动。[2020/11/10 12:09:56]

火币:冷钱包采用多重、门限签名技术,不依赖某一个人的权限与操作:关于近期行业动态引发的对平台钱包核心机制的关注及问询,火币相关负责人回应金色财经:火币冷钱包使用了多重签名和门限签名技术保障私钥签名过程的安全性,多人、多地备份保障私钥的可用性,自主研发的安全硬件保障存储的健壮性。同时通过严格的规范要求、流程标准以及最小权限、多人背靠背隔离操作等机制保障各个操作环节的安全,并在技术和流程上均实现了不依赖某一个人的权限与操作行为,敬请各界放心使用。感谢广大用户的关注与支持。[2020/10/16]

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:475ms