0x01:前言
风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
0x02:事件详情
攻击者Suho
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
BNB Chain Builder Grant 11 月受赠项目公布:Owl Protocol 和 BlockVision:12月6日消息,BNB Chain 公布 BNB Chain Builder Grant 11 月受赠项目方,包括无代码、动态 NFT 工具开发项目 Owl Protocol 和 Web3 数据基础设施公司 BlockVision。
据悉,BNB Chain 通过该捐赠计划每月投入 50 万美元定期支持潜力项目,每月 1 日到 7 日接受申请。[2022/12/6 21:26:26]
else{proposal
Build Finance遭遇治理攻击,110万枚代币通过投票被恶意增发并抛售:2月15日消息,风投DAO组织Build Finance在推特表示,该项目遭遇恶意治理接管,恶意行为者通过获得足够多的投票成功了控制 Build 代币合约,进而铸造了 110万 BUILD代币并耗尽了项目的流动资金池,此外还将DAO金库中的 13 万 METRIC 代币全部抛售。该项目团队成员与攻击者进行了直接接触,但对方似乎没有兴趣进行对话。[2022/2/15 9:51:58]
receipt
以太坊开发环境工具Buidler更名为Hardhat:分布式系统设计团队NomicLabs宣布将以太坊开发环境工具Buidler更名为Hardhat,改名后,用于扩展和自定义设置的任务运行组件被称为HardhatRunner,此前具有Solidityconsole.log和堆栈跟踪功能的星型开发网络BuidlerEVM,被称为HardhatNetwork。[2020/10/23]
该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:
而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。
0x03:总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。