比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > Pol幣 > Info

DAO:權利的游戲 —— DAOMaker被黑分析_AOM價格

Author:

Time:1900/1/1 0:00:00

2021年08月12日,據慢霧區消息,加密孵化機構DAOMaker疑似遭受黑客攻擊,導致合約大量USDC被轉出。慢霧安全團隊第一時間介入分析,并將分析結果分享如下。

攻擊對象

在本次攻擊中,攻擊者部署并開源了一個攻擊合約(0x1c)用于快速批量的從DAOMaker受害合約(0x41)中竊取資金。

攻擊者地址1:

0xd8428836ed2a36bd67cd5b157b50813b30208f50

攻擊者地址2:

0xef9427bf15783fb8e6885f9b5f5da1fba66ef931

攻擊合約:

0x1c93290202424902a5e708b95f4ba23a3f2f3cee

Coin Center:美財政部制裁Tornado Cash或違反了正當程序及憲法權利:金色財經報道,加密貨幣倡導組織Coin Center發布博客文章稱,美國財政部外國資產控制辦公室(OFAC)制裁Tornado Cash可能在法律和憲法上存在缺陷,Coin Center表示,“我們認為OFAC通過將某些Tornado Cash智能合約地址添加到SDN列表中超越了其法律權限,這一行為可能違反了正當程序及憲法權利”。

Coin Center認為,智能合約不能成為可制裁的實體,這樣的標準對全世界的代碼人員來說都是危險的。文章稱,“這一行動發出了一個信號,實際上似乎是為了發出一個信號,美國人不應該使用某種工具和軟件,即使是完全合法的目的”。Coin Center承諾其第一步是與OFAC合作,但該組織也表示,“我們將開始與律師探討對這一行動的法庭挑戰。敬請期待。”[2022/8/16 12:27:43]

DAOMaker受害合約:

RTFKT向CloneX持有者授予對NFT的商業權利:7月6日消息,耐克旗下加密時尚品牌RTFKT宣布向CloneX系列NFT持有者授予商業權利,此舉將允許持有者創建衍生項目、鑄造粉絲藝術以及制作和銷售以他們的頭像為特色的商品。據悉,CloneX NFT的持有者現在還可以下載和自定義他們的3D頭像。(The Block)[2022/7/6 1:55:42]

0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49

DAOMaker受害合約deployer:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971c

DAOMaker受害合約admin:0x0eba461d9829c4e464a68d4857350476cfb6f559

俄羅斯將采用“數字權利”來替換“數字貨幣”等定義:俄羅斯國家杜馬金融市場負責人Anatoly Aksakov在數字金融資產圓桌會議上表示,俄羅斯將在《數字金融資產》等法律及草案中去除“數字貨幣”、“加密貨幣”等概念,將用“數字權利”來替換以上相關概念。[2018/6/14]

攻擊細節

本次攻擊與往常攻擊不同的是:DAOMaker受害合約(0x41)未開源,而攻擊合約(0x1c)卻開源了。

從上圖開源的攻擊合約以及鏈上記錄我們可以看出:

1.黑客調用攻擊合約(0x1c)的h函數,h函數會循環調用f函數,f函數通過DAOMaker受害合約的0x4b4f892a函數獲取普通用戶在受害合約(0x41)中的USDC存款數量。

ITC萬物鏈聯合創始人呂新浩:數據主權是處理自己數據資產的權利:近日,世界數字資產峰會(WDAS2018)上,ITC萬物鏈聯合創始人呂新浩指出,數據主權(data sovereignty)是處理自己數據資產(data asset)的權利。不同于數字資產(digital asset),數據資產具有難轉移、歸屬權難界定的特點。數據資產的價值在使用中被體現,而且價值在持續產生。ITC萬物鏈將數據資產分為基礎數據和行為數據,在萬物鏈中,用戶的數據主權將得到保護并產生收益。[2018/5/2]

2.函數h接著調用DAOMaker受害合約(0x41)的withdrawFromUser(0x50b158e4)函數,傳入用戶存款的用戶地址、USDC地址與需要提款的數量。

3.隨后DAOMaker受害合約(0x41)將合約中的USDC轉移至攻擊合約中(0x1c)。

通過以上行為分析我們可以發現:攻擊合約(0x1c)調用了受害合約(0x41)的withdrawFromUser函數,受害合約(0x41)就將合約管理的資金直接轉給攻擊合約(0x1c)。我們直接反編譯受害合約(0x41)查看withdrawFromUser函數進行簡單分析:

通過反編譯的代碼我們可以發現,此函數是有進行權限檢查的,只有DAOcontracts才能調用此函數轉移用戶的資金。但攻擊合約(0x1c)明顯不是DAO合約,因此其DAO合約必然是被攻擊者替換過的。

通過鏈上分析我們可以清楚的看到:

1.受害合約部署者(0x05)在部署受害合約(0x41)后于UTC4月12日08:33:45將0x0eba461d9829c4e464a68d4857350476cfb6f559地址設置為了管理員角色:

TxHash:

0xa1b4fceb671bb70ce154a69c2f4bd6928c11d98cbcfbbff6e5cdab9961bf0e6d

2.隨后受害合約部署者(0x05)通過調用revokeRole函數放棄了受害合約(0x41)管理權限:

TxHash:

0x773613398f08ddce2cc9dcb6501adf4f5f159b4de4e9e2774a559bb1c588c1b8

3.而管理員則在UTC8月12日01:27:39將DAO合約設置為了攻擊合約(0x1c):

TxHash:

0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6

因此攻擊者才得以借助此攻擊合約(0x1c)將受害合約(0x41)中用戶的資金盜走。目前被盜資金被兌換成ETH轉移至攻擊者地址2(0xef)。

總結

本次攻擊可能源于DAOMaker受害合約的管理員私鑰泄漏。攻擊者竊取私鑰后將受害合約的DAO合約替換為了攻擊合約,攻擊者通過替換后的合約轉走了合約中的用戶資金。而由于合約部署者在設置完合約管理員后就放棄的合約管理權限,因此目前項目方可能還無法有效的取回合約控制權。

Tags:DAOAOMOMAMakerboringdao幣是哪個國家AOM價格MOMATmaker幣

Pol幣
RTB:什么是生成藝術NFT,Art Blocks為什么能持續霸榜?_BlockSAFU

作者|DADA 編輯?|門人??運營|小石頭9月2日Opensea最近交易數據顯示,ArtBlocks截至目前的總交易額已突破233.8KETH,創下歷史新高,交易者數量突破2萬.

1900/1/1 0:00:00
NFT:NFT聚合平臺HODL Assets宣布收購區塊鏈社交網絡和商務平臺CoinLinked_PUPPETS幣

據Cointelegraph8月25日報道,NFT聚合平臺HODLAssets宣布收購基于區塊鏈的社交網絡和商務平臺CoinLinked.

1900/1/1 0:00:00
區塊鏈:萬向區塊鏈峰會往事:2019,區塊鏈從江湖到廟堂_數字人

2019年是區塊鏈誕生的第十年,這一年發生了太多行業大事件。而萬向區塊鏈實驗室也以“新十年新起點”為主題,舉辦了第五屆區塊鏈全球峰會.

1900/1/1 0:00:00
OIN:CoinCenter執行董事:基礎設施法案中“數字資產”的定義似乎過于寬泛_coinbase國內怎么用

巴比特訊,8月13日,加密貨幣游說團體CoinCenter的執行董事JerryBrito在推特中表示,親愛的法律精英們,我需要一些幫助。基礎設施法案中“數字資產”的定義似乎太寬泛了.

1900/1/1 0:00:00
IZE:V神最新發文:針對信標鏈的終結性模型替代設計構想_POS

原文標題:《基于委員會的累積終結性模型》作者:VitalikButerin 本文提出了一種以太坊信標鏈的擬議替代設計,在未來長期內可以切換到該設計.

1900/1/1 0:00:00
比特幣:比特幣和以太坊活躍地址下降的同時,非零地址持續上升,這表明了什么?_CRY

市場上排名前兩位的Crypto最近走出了較為獨立的行情。比特幣經歷了長時間的整合,而以太坊在過去的一周里一直在上漲.

1900/1/1 0:00:00
ads