0x01:前言
风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
0x02:事件详情
攻击者Suho
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
Polygon Labs与Station3NYC在纽约推出“Builder House NYC”:金色财经报道,Polygon Labs在其官推宣布与Station3NYC合作推出是专门为艺术家和建筑商提供的工作空间“Builder House NYC”,地址位于纽约市中心,旨在支持和培养建设者和艺术家的人才,并构建一个激发创造力、促进协作和支持创新理念发展的社区,继而激发数字艺术领域内外的创新。。[2023/7/7 22:22:45]
else{proposal
Paxful与Built With Bitcoin Foundation共同向非营利性组织人权基金会捐款:9月15日消息,点对点金融科技平台Paxful宣布将向非营利性组织人权基金会捐款。Paxful将与Built With Bitcoin Foundation一起进行捐赠。后者是一个人道主义组织,所有这些都由加密货币提供支持。这笔捐款将为Qala Fellowship提供资金,该项目旨在寻找和培养尼日利亚当地人才,从开发人员开始,在比特币领域发展职业生涯。Qala Fellowship目前正在接受申请,旨在吸引更多非洲开发人员从事比特币工作,建立自己的公司,为开源做贡献,以及/或在不同的公司从事比特币工作。开发人员还将获得每月的津贴,以便专注于课程工作。(Sun News Online)[2021/9/15 23:26:31]
receipt
DeFi合成资产协议Linear Finance上线Buildr测试网:DeFi合成资产协议Linear Finance(LINA)上线 Buildr测试网 ,Buildr测试网是Linear Finance核心产品的一部分,旨在让用户测试Buildr,尽可能多地找到Bug和可以优化的地方,报告给团队,从让团队能够在上线主网时修正这些问题。团队将为成功提交反馈意见和Bug报告的用户提供Bug赏金和LINA奖励。[2020/10/16]
该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:
而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。
0x03:总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。