因JumpCrypto与Oasis联合通过逆向攻击追回12万枚ETH的Wormhole被盗资金,MakerDAO发推特声明,鉴于最近有关MakerVault30100和Oasis前端的交易,需要解释MakerDAO、Maker协议和第三方前端提供商之间的区别。MakerDAO无法控制任何使终端用户能够访问MakerVaults的前端提供商或产品。
PeckShield:攻击DAO Maker的黑客地址向Tornado.cash 转入200枚ETH:6月7日消息,PeckShield监测显示,攻击加密孵化机构 DAO Maker 的黑客地址向 Tornado.cash 转入 200 枚 ETH。此前消息,2021 年 8 月加密孵化机构 DAO Maker 遭受黑客攻击,被盗价值 700 万美元的USDC。[2022/6/7 4:07:41]
此外,连接到Maker协议的可用前端都不是由MakerDAO开发或维护的Maker协议是一个去中心化的智能合约系统,公开部署在以太坊上,允许任何供应商以无许可和去中心化的方式连接其用户界面解决方案。这些用户界面提供商可以控制他们部署的智能合约,使终端用户能够与Maker协议进行交互。最近更改MakerVault30100所有权的交易不涉及任何MakerDAO的官方智能合约或MakerDAO指令。其重申MakerDAO的智能合约不受Oasis前端智能合约的控制或控制。
DAO Maker的Vesting合约遭到黑客攻击,攻击者最终获利近400万美金:据慢雾区情报,DAO Maker的Vesting合约遭到黑客攻击。DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分发系统,在DAO Maker中进行持有者发行(SHO)时因DAO Maker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。
黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:
1. Vesting合约中的init函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。
2. Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。[2021/9/4 22:59:35]
相关阅读:JumpCrypto如何与Oasis通过逆向攻击追回12万枚ETH的Wormhole被盗资金
动态 | MakerDAO正式决定降低DAI稳定费:据coindesk报道,经过近两周的连续投票,MakerDAO代币持有人已经正式决定将DAI的稳定费用降低2%。此前最后一次成功降低稳定费是在去年12月底。[2019/5/29]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。