比特币
Ctrl+D收藏简单区块链

DAO Maker失窃事情剖析_算力

作者:

时间:2021/8/13 9:43:47

DAO Maker失窃事情剖析

8月12日,依据DAO Maker电报群用户满意度,该新项目疑是遭受黑客入侵,使用价值700万美金的USDC被网络黑客获取至不明详细地址。精英团队历经剖析后,发觉该事情的原因是公钥泄漏或是內部人员所做。

根据大家的买卖数据分析系统(https://tx.blocksecteam.com)大家发觉,进攻的全过程比较简单。进攻买卖的hash是:

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

牵涉到的详细地址:

0x41b856701bb8c24cece2af10651bfafebb57cf49: 受害者钱夹

0x1c93290202424902a5e708b95f4ba23a3f2f3cee: XXX,攻击者合约

0x0eba461d9829c4e464a68d4857350476cfb6f559:中介人

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:被害合约创始人(也是攻击者)

攻击者XXX (0x1c93290202424902a5e708b95f4ba23a3f2f3cee)启用受害者钱夹合约(0x41b856701bb8c24cece2af10651bfafebb57cf49)的涵数查看客户账户余额,随后启用withdrawFromUser将钱转至自身的帐户。进攻进行。因为转帐的实际操作是一个权利实际操作,因而一般必须 对入参的真实身份做校检。大家根据剖析发觉,攻击者的确具备相对应的权限来将受害者钱夹中的账户余额转出。

这儿的难题就变为为何攻击者能具备相对应的权限?根据进一步剖析大家发觉此外一笔买卖。这一笔买卖将攻击者授予具备转帐的权限。买卖trace以下:

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

0x0eba461d9829c4e464a68d4857350476cfb6f559启用受害者合约的grantRole函数将攻击者0x1c93授予具备转帐的权限。可是能启用grantRole授予别的帐户权限,那麼0x0eba4务必具备admin的权限。那麼他的admin权限到底是谁授于的呢?

再次跟踪,大家发觉它的admin权限是由此外一笔买卖进行的。

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c帐户将0x0eba461d9829c4e464a68d4857350476cfb6f559帐户设成被害合约的admin。

殊不知大家发觉,被害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c建立的。

汇总一下,全部的步骤是:

那难题就来了,为何布署受害者合约的0x054e最终间接性授予了攻击者能转帐的独特权限呢?这里有2个概率。第一个0x054e是奸细,第二个便是公钥泄漏。

此外一个有意思的点便是攻击者的合约是开源系统的,编码简单易懂,能够 做为学习培训合约开发设计的启蒙教育实例教程。

可是受害者的合约编码不是开源系统的。这有点儿难以置信。不开源系统的钱夹也有些人敢用?

Messari将Layer2 DAO基本协议书Metis列入其数据库查询:美国东部时间6月11日,数字货币数据信息科学研究服务平台Messarii公布将Layer2 DAO基本协议书Metis列入其ppp项目库明细。

Messari Hub根据对数据信息开展剖析和多层次评定,遴选出合乎其项目投资规范并有发展潜力的区块链项目,并给予给包含美国华尔街投资者以内的服务客户。

Metis是Layer2 DAO基本协议书,用以DAC(区块链技术的生态系统理论企业)的建立、管理方法和发展趋势。6月15日,该新项目将迈入Beta版测网的发布。[2021/6/11 11:26:22]

Dematrix创办人进行NFT绿色生态引流矩阵DAO同盟:据官方公告,Dematrix创办人Anton Romanov开创NFT Ecological Matrix DAO Alliance(NEMDA),NEMDA是一个由NFT发烧友和使用价值信仰者建立的DAO,激励小区组员随意地为NFT发音,专注于变成一个NFT行业的区块链技术信息内容频道栏目。

Dematrix是OKexChain生态圈的NFT跑道新项目,由ChainUp链上资产领投,Aquaria慈善基金会、TricerTop慈善基金会联投,将于5月登录OKexChain生态圈主网并打开创世者挖币。[2021/5/17 10:57:30]

MakerDAO顺利完成77次负债竞拍,共卖出17600枚MKR:依据DuneAnalytics数据分析,MakerDAO现阶段早已进行77次负债竞拍,一共有大概17600枚MKR以4三十万Dai的总价格被卖出,单独MKR的价钱为245.97Dai,大多和当今价格行情非常贴近,现阶段还差9次竞拍待进行,将来还能造成大概二十万Dai。[2020/3/2

标签:

区块链热门资讯
本届年青人想得多 数字遗产留或是删_算力

本届年青人想得多 数字遗产留或是删 微信聊天记录、通讯记录、电子邮件纪录,QQ空间、新浪微博、微信朋友圈上的纪录,手机上中的照片,游戏道具……这种数字遗产在一个人去世后怎么处理?它是个新难题。 本届年青人想得多,不但思索存亡,还考虑到财产,虽然很有可能都还没是多少财产必须 承继。但有一种财产,每个人都是有。

2021/8/13 9:21:49
金黄观查丨 Pantera Capital合作伙伴:我为什么会项目投资数字艺术NFT市场MakersPlace

金黄观查丨 Pantera Capital合作伙伴:我为什么会项目投资数字艺术NFT市场MakersPlace 金色财经 区块链8月13日讯  MakersPlace 是首屈一指的数字艺术 NFT 市场,上年获得了极大的提高,销售总额超出 1 亿美金,单独收藏者总数提升了 10 倍。

2021/8/13 9:04:37
权利的游戏 :DAO Maker 网站被黑剖析_算力

权利的游戏 :DAO Maker 网站被黑剖析 2021 年 08 月 12 日,据慢雾区信息,数据加密卵化组织 DAO Maker 疑是遭到网络黑客攻击,造成 合约很多 USDC 被转走。慢雾安全性精英团队第一时间干预剖析,并将剖析結果共享以下。

2021/8/13 9:04:13
OKX