BUILD:Build Finance攻擊事件分析-ODAILY_LAS

0x01：前言

風投DAO組織BuildFinance在社交媒體發文表示，該項目遭遇惡意治理攻擊，攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

0x02：事件詳情

攻擊者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

a16z合伙人Chris Dixon推出新書Read Write Own: Building the Next Era of the Internet:6月23日消息，a16z合伙人Chris Dixon撰文介紹新書Read Write Own: Building the Next Era of the Internet，稱這本書回顧了互聯網的歷史，展示了它如何經歷了三個主要的設計時代：第一個關注民主化信息（閱讀），第二個關注民主化出版（寫作），第三個關注民主化所有權（擁有）。

Dixon表示，這本書回答了一個常見問題，“區塊鏈解決了哪些問題？”區塊鏈解決了其他數字服務所解決的問題，但結果更好。它們可以將人們連接在社交網絡中，同時賦予用戶權力，超越了企業的利益。它們可以支持市場和支付系統，促進商業交易，而手續費始終較低。它們可以實現可盈利的媒體形式，互操作性和沉浸式的數字世界，以及補償創作者和社區的人工智能服務，而不是吞噬它們。[2023/6/23 21:56:02]

else{proposal

zkSync將與buidl box合作于2月20日至3月19日舉辦首個zkSyncEra?系列黑客松:金色財經報道，基于ZKRollup的以太坊二層網zkSync宣布將與buidl box合作開啟zkSyncEra?系列黑客松中的首個，此次黑客松于2月20日至3月19日舉行，專注于帳戶抽象和Web3安全，獎池為2.5萬美元。[2023/2/18 12:15:04]

receipt

該函數方法允許任何擁有一定數量資產的用戶發起提案，持有該資產的其他用戶進行投票，函數代碼未發現安全問題，因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后，攻擊者鑄造了100萬個BUILD代幣，耗盡大部分Balancer和Uniswap流動性池的資金：

MEV運營商Flashbots宣布開源Flashbots Builder:11月20日消息，MEV運營商Flashbots宣布開源Flashbots Builder，旨在幫助以太坊生態系統進一步發展，目前源代碼已經發布在GitHub上。

Flashbots表示，利用其最新構建的完全去中心化區塊構建器新版本SUAVE，每個構建者都能成為區塊貢獻的一份子，而不會讓某個單一實體構建整個區塊。[2022/11/21 7:50:35]

而在2021年1月，TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth發起提案，利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，惡意接管后鑄幣套現。

0x03：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由攻擊者創造低閾值提案，讓自己惡意接管了治理權限，去中心化的治理實現是很有必要的，但不應該讓攻擊者可以利用少量投票就通過提案。

Tags：BUILDSHBLASHBOBUILD幣SHB幣PEPE CLASSICMy Neighbor Alice

火必交易所