权限攻击:DAO Maker被黑事件分析_DAO:AOM币

摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。

彭博社:推特已冻结其部分员工的内容审核工具权限:11月1日消息,推特已冻结部分员工的内容审核和其他政策执行工具权限,导致该公司负责信任与安全组织工作的大多数人都无法处理或惩罚发布误导信息、攻击性帖子和仇恨言论规则的账户,目前推特拒绝就其限制内容审查工具使用的问题发表评论。

彭博社表示,虽然 Elon Musk 此前称不会改变推特的内容审核政策,但据知情人士透露,他已经对一些政策提出了疑问,但目前尚不清楚 Elon Musk 是否希望修改相关政策或完全取消限制。[2022/11/1 12:06:32]

PeckShield:检测到BMIZapper存在漏洞,用户最好及时撤销ETH配额和权限:3月30日消息,PeckShield发推表示,检测到BMIZapper存在一个漏洞,提醒用户及时撤销ETH配额和权限。撤销方法如下:1.转到revoke.cash;2.连接钱包,检查余额;3.搜索0x4622aff8e521a444c9301da0efd05f6b482221b8,看看是否有批准;4.如果有请及时撤销批准。[2022/3/30 14:26:13]

DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。

Optimism 宣布取消白名单,将完全开放部署应用程序权限:12月17日消息,Optimism今日宣布已取消白名单,从今日起任何人都可在Optimism系统上自由部署合约、构建应用程序,未来升级将保留所有状态、交易历史和事件数据。Optimism官方表示:“取消白名单加上EVM 等效升级的完成意味着 Optimism 比以往任何时候都更容易获得。权力下放是一个具有挑战性且循序渐进的过程。无需许可的合约部署使我们离真正开放、可访问、积极的以太坊愿景更近了一步。”

11月,Optimism 宣布正式上线 EVM (以太坊虚拟机)等效性,简化了开发者的开发过程以及降低交易费用。[2021/12/17 7:45:26]

O3 Swap官方辟谣: Stake合约自带超级权限的“后门”传言不属实:O3 Swap官方辟谣称,自8.10黑客攻击事件发生后,部分自媒体/KOL发表的关于O3合约自带超级权限,可以一键转移用户stake资产的言论完全不属实,请大家切勿被谣言影响。 O3 Swap合约开源代码中被讨论的collect方法第一行代码中表明require token !=(不等于)staking token的强制限制(会触发 COLLECT_NOT_ALLOWED异常使操作被强制结束),即表明禁止操作用户stake的资产,function collect是考虑到用户向合约误充资产后可以帮助找回而设计, 并非谣言中所讲的“自带一键 rug”的超级权限。O3 Swap合约代码完全开源并经过SlowMist和Certik的审计,并且是正常安全运行状态。特此说明澄清,请社区成员切勿轻信和传播谣言。 关于本次攻击事件进展,我们正在与PolyNetwork团队密切沟通与协同处理,将会第一时间与社区同步结果,也将尽快恢复跨链相关功能与服务,感谢社区成员的理解与支持。[2021/8/12 1:50:33]

通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。

声音 | 慢雾科技余弦:攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称,前些天有人的 Coinbase 账号遭遇了 SIM Port Attack(SIM 卡转移攻击),损失了超过 10 万美金的数字货币,很惨痛。攻击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的 SIM 卡,然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?[2019/5/27]

对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:

可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;

而后,一天前现任管理员创建攻击合约XXX。

现任管理员给攻击合约XXX授权。

随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:84ms