北京事件9月4日,NFT赛马项目DeRace受到黑客攻击,在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击,导致400万美元的损失。
在此之前,北京时间8月12日,DAOMaker就已遭到类似黑客攻击,也是由于权限管理不当受到攻击,损失超过700万美元。累计已因为类似的权限管理不当问题,损失了超过1000万美元。
美国国家橄榄球联盟(NFL)放宽有关加密公司赞助的规则,授予NFT赞助的有限权限:金色财经报道,美国国家橄榄球联盟(National Football League)在一份备忘录中表示,授予球队寻求区块链赞助的有限许可,但将继续禁止俱乐部或球员直接推广加密货币。该备忘录显示,NFL 在完成对该技术的评估后,决定允许“在不承担过度监管或品牌风险的情况下建立推广关系”,许可须经 NFL 批准,不包括体育场标牌。NFL 消费产品负责人Joe Ruggiero表示,球队与区块链公司之间达成的任何交易都不会超过三年,以赋予联盟灵活性。他补充说,NFL 也可以将其联盟范围内的区块链权利出售给其他公司。(CNBC)[2022/3/23 14:12:28]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
Visor Finance攻击事件报告:黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称,攻击者获得了一个管理帐户的访问权限,能够从尚未存入流动性提供者头寸的存款中提取资金。报告称,被盗金额约占其300万美元TVL的16.7%(约合50万美元),并证实该黑客并非团队成员,因此对其紧急提款保障措施缺乏充分了解,被盗资金仅限于未配置的资产。(BeInCrypto)[2021/6/21 23:53:12]
一、事件分析
声音 | 西南财经大学陈文:未来跨链竞合中区块链相关节点权限划分将更为多元:金色财经报道,西南财经大学普惠金融与智能金融研究中心副主任陈文表示,要提高联盟链的参与度,就是要在不伤害金融机构与产业巨头的利益的前提下,同时能够解决一些痛点问题。区块链的应用可以是“大”链也可以是“小”链,但其得到应用的前提是解决利益问题。供应链金融模式本身就是闭环,区块链技术的引入更多是为了防止这个闭环内部的参与方造假,降低内部的道德风险问题。最初的公有链,金融机构和产业主体参与度普遍不高,因为这种去中心的链,去的是金融机构和产业巨头这个中心,但联盟链推出后金融机构和产业巨头的参与度明显提高,因为区块链的应用在不伤害他们的利益的同时能够解决一些痛点问题。在联盟链中区块链相关节点的权限就已经存在差异,并非公有链中完全的平等,在未来的跨链竞合中区块链的相关节点权限划分将更为多元,从而确保在参与方利益得到保障的前提下实现联盟链间的有机整合。[2019/12/14]
攻击者以相同的攻击手法进行多次攻击,以DeRace?Token(DERC)被攻击进行分析:
币安发布SUB智能合约权限风险提示:币安公告称,经审核仅SUB代币存在项目方超权限风险,我们检查了区块链记录,确认这个权限并未被使用后,与SUB团队及时进行了沟通,SUB确认了这个问题并将提供解决方案。[2018/6/11]
通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现,该合约只是起到代理的作用,只有一个fallback函数,将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同,但是都是用的相同的智能合约来将发来的请求!。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。
黑客通过发送函数签名为0x84304ad7函数给0x2fd6,在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中,似乎并没有对msg.sender的身份进行确权操作。因此,使得攻击者成为0x2fd6的owner,随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数,进行紧急提款。
本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的,因此攻击者依次使用相同的攻击手法进行攻击,最后兑换成了DAI,攻击者最终获利近400万美金。
这已经是DaoMaker多次受到攻击,虽然声称经过了多家不同安全公司的审计工作,但是其安全状况使人担忧。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。