摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
Scam Sniffer:仍有超1200个地址未撤销SushiSwap合约漏洞相关权限:4月9日消息,反网络钓鱼解决方案 Scam Sniffer 提醒称,仍有超 1200 个地址未撤销 SushiSwap 合约漏洞相关权限。[2023/4/9 13:53:09]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
时尚杂志GQ将推出其首个NFT系列,持有者拥有多种权限:2月16日消息,时尚杂志 GQ 将发布其首个 NFT 系列,该系列 NFT 将授予持有人访问杂志订阅、商品和现场活动的权限。
据悉,该系列名为“GQ3 Issue 001:Change Is Good”,由 1,661 个 NFT 组成,每个 NFT 都允许持有者获得额外奖励,例如 GQ 杂志订阅、精选的 GQ 产品盒、独家商品和 4 月份首届 GQ3 派对的门票,以及访问特殊 Discord 频道的权利。(Coindesk)[2023/2/16 12:10:12]
安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限:金色财经报道,2022年9月20日,据Beosin EagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin 安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征(0x0000000),疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷(有暴力破解私钥的风险),导致私钥可能泄漏。
Beosin 安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。[2022/9/20 7:08:40]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
伊朗已通过修订法规放宽加密矿工获得可再生能源的权限:7月29日消息,伊朗能源部已更改某些加密货币挖矿法规,以方便授权在该国持牌加密挖矿公司获得可再生能源。持牌加密挖矿公司现在可以从全国各地以较低的价格购买由可再生能源生产的电力。
伊朗发电、输电和配电公司(Tavanir)的官员Mohammad Khodadadi指出,到目前为止,矿业企业只能与位于同一省的可再生能源发电厂签订合同。使用清洁能源合法挖矿的伊朗公司将不会因使用该国电力网络而被收取常规传输费。
伊朗政府还表示将对无牌加密矿工采取严厉措施,将对非法采矿活动的罚款提高400%。根据5月份发布的官方数据,伊朗政府已经查明并关闭了近7,000家非法铸造数字货币的设施。(Bitcoin.com)[2022/7/29 2:46:19]
有黑客大规模获取服务器权限植入挖矿程序:据慢雾区发布的安全预警消息称,「阿里云安全」披露,有攻击者利用 Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞进行攻击,大规模获取服务器最高权限并植入挖矿程序。钱包、交易所应注意防范,对全节点、热钱包做好隔离,另外,Hadoop 2.X 以上版本提供了安全认证功能,建议开启 Kerberos 认证。[2018/5/5]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。