VEST:慢霧：DAO Maker 的 Vesting 合約遭到黑客攻擊簡析_Decentralized Community Investment Protocol

鏈捕手消息，據慢霧區情報，DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken(DERC)，Coinspaid(CPD)，CapsuleCoin(CAPS)，ShowcaseToken(SHO)都使用了DaoMaker的分發系統，在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊，即SHO參與者的分發系統中出現了一個漏洞：init未初始化保護，攻擊者初始化了init的關鍵參數，同時變更了owner，然后通過emergencyExit將目標代幣盜走，并兌換成了DAI，攻擊者最終獲利近400萬美金。

慢霧：已凍結部分BitKeep黑客轉移資金:12月26日消息，慢霧安全團隊在社交媒體上發文表示，正在對 BitKeep 錢包進行深入調查，并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

黑客利用Vesting合約中的漏洞，將Vesting合約中的代幣提走，如下是簡要分析：

對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息：

慢霧：警惕QANX代幣的雙花攻擊風險:據慢霧區消息，近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。

慢霧安全團隊建議已上架此幣種的平臺及時自查，未上架的平臺在對接此類幣種時應注意以上風險。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

1.Vesting合約中的init函數(函數簽名：0x84304ad7)，沒有對調用者進行鑒權，黑客通過執行init函數成為Vesting合約的Owner。2.Owner可以執行Vesting合約中的emergencyExit函數，進行緊急提款。

慢霧：跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件，慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

相關合約地址：

Vesting代理合約：0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting實現合約：0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址：0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同樣的手法其攻擊其他Vesting合約，轉移如下代幣：DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f

Tags：VESTINGTINVESDecentralized Community Investment Protocol混bikingTINC價格9 Lives Network

PEPE幣