DAO還安全嗎？Build Finance遭遇惡意治理接管，被洗劫一空！_DAO:ANC

今天2月15日，先祝大家元宵節快樂！團團圓圓每一天！

而在今天凌晨時分，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，風投DAO組織BuildFinance項目遭遇治理攻擊。關于本次攻擊，成都鏈安技術團隊第一時間進行了分析。

#1?事件概覽

據悉，BuildFinance是一個自我描述為“去中心化風險建設者”，其目標是通過獎勵代幣來激勵新項目。這個想法是用其原生BUILD代幣為項目提供資金，作為回報，這些項目將采用BUILD代幣來增加對它們的需求。此外，該項目由DAO維護，也就是由一個去中心化組織參與治理。

但是，黑客卻悄悄搞起事情，該項目遭遇攻擊者惡意治理接管，黑客通過獲得足夠多的投票成功控制Build代幣合約，在三筆交易中鑄造了超過10億的BUILD代幣，并耗盡了Balancer和Uniswap流動性池中的大部分資金。事發后，該項目團隊在推特建議用戶不要在任何平臺上購買BUILD代幣，項目團隊成員試圖與攻擊者進行直接對話，但對方似乎沒有興趣對話。

GnosisDAO提案建議將Gnosis Chain上2500萬枚xDAI存入DSR:6月23日消息，GnosisDAO 社區發起一項新提案，建議將 Gnosis Chain 上 2500 萬枚 xDAI 存入 DAI 儲蓄率 (DSR)，Gnosis Chain 用戶可以用 xDAI 來鑄造 GC sDAI 并累積 DSR 儲蓄收益。理論上，Gnosis Chain 上的 DSR 收益率始終高于以太坊主網上，因為只有所有 xDAI 都被質押，才能實現利率平衡。

注：DSR 是由 MakerDAO 治理設定的可變利率，允許 DAI 持有者通過將他們的 DAI 鎖定在 DSR 合約中來賺取儲蓄收益。[2023/6/23 21:55:50]

看來項目方又遇到了一位“任性”的黑客。下面，跟著我們來看一下事件具體分析過程。

#2?事件具體分析

Round1

通過對項目的交易追蹤，我們發現2022年2月12日BuildFinance?項目被攻擊者竊取了治理權限，接著向0xdcc8A38A地址分三次鑄造了超過10億的BUILD代幣。

ApeCoin DAO進入第二季度質押，3000萬枚APE將分配到4個質押池:3月14日消息，在ApeCoin DAO啟動其質押系統91天后，已通過協議分發了3500萬枚APE，另外3000萬枚APE將在接下來的三個月內分發。在第二季度，ApeCoin DAO將在四個質押池中分配總計3000萬枚APE，其中900萬枚APE將進入APE Only池，14,131,500枚APE將進入BAYC池，5,718,000枚APE將進入MAYC池，1,150,500枚APE將進入BACK池。

根據Horizen Labs此前的分發計劃，到2023年6月11日期間分配的3000萬枚APE是ApeCoin社區在三年質押計劃第一年投票決定分配的1億枚APE中的一部分，按照AIP-21和AIP-22，ApeCoin DAO將在三年內總共向質押者分配1.75億枚APE，

據Dune Analytics最新數據顯示，當前已質押的APE總量已達到114,721,745枚。[2023/3/14 13:03:56]

加密KOL：DebtDAO發行的FTX債券代幣FUD可能違反證券法:2月6日消息，推特上的金融律師@wassielawyer表示，DebtDAO發行的FTX債券代幣FUD違反了證券法。他稱該代幣為“可能根本不存在的證券化垃圾債務”。此外，wassielawyer表示并非所有的債務索賠都是平等和可替代的。

據悉，DebtDAO由孫宇晨支持，旨在這讓FTX債權人可以更好地控制他們的資產。DebtDAO在Tron網絡上發行了2000萬枚FUD代幣，每個代幣價值1美元。FTX確認債務金額后，將增發空投代幣。DebtDAO將在空投后為FUD持有者進行1:1的債務回購。（Cryptoslate）[2023/2/6 11:49:43]

然后0xdcc8A38A地址將這10億代幣通過UniswapV2:BUILD兌換將項目方的交易池掏空。

QiDao團隊將Stablecoin MAI添加至Polygon網絡Aave V3的提案已獲通過:8月29日消息，Polygon 原生 Stablecoin 協議 QiDao Protocol 團隊于 Aave 社區發起將 QiDao 推出的 Stablecoin MAI 添加到 Polygon 上的 Aave V3 的提案已獲通過，該提案建議風險參數設置為 75% 的貸款利率、80% 的清算門檻、10% 的儲備系數、每條鏈 200 萬美元的初始債務上限。[2022/8/29 12:54:58]

觀察交易細節后，我們發現調用Build代幣合約mint函數鑄幣的地址也為0xdcc8A38A。

接著往下看，我們觀察下圖項目方的合約代碼發現調用mint函數的地址只能為governance地址。此時鑄幣的地址為0xdcc8A38A，也就是說合約現在的governance權限已經被0xdcc8A38A地址獲取了。

AssangeDAO ETH募集量已超過ConstitutionDAO，成為JuiceBox迄今融資規模最大的DAO:2月8日消息，根據DAO籌款網站Juicebox數據顯示，自2月3日開始籌款以來，AssangeDAO已經籌集了超過15,093枚ETH，約合4660萬美元，這意味著其募款金額已經超過了此前的ConstitutionDAO，并成為JuiceBox迄今融資規模最大的DAO。

ConstitutionDAO在2021年秋季成立，旨在拍賣贏得美國憲法副本，但最終未能如愿獲得，之后在2021年11月15日宣布放棄DAO所有權。AssangeDAO以維基解密創始人阿桑奇命名，該組織宣稱將幫助阿桑奇支付法律費用，并開展活動，提高公眾對司法系統系統性故障的認識。[2022/2/8 9:38:26]

從代碼中可以看到原本的governance權限屬于合約的創建者即下圖的0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172地址。

我們不禁要問，那么governance權限是如何轉移到0xdcc8A38A上的呢？

Round2

通過排查，我們通過2020年9月4日的一筆交易發現了線索，攻擊者只有通過setGovernance函數才能竊取governance的權限。那么在這期間合約創建者0x2Cb037BD一定使用了setGovernance函數進行了權限轉移。

通過查找0x2Cb037BD地址的交易記錄可見，在同一天創建者使用了setGovernance函數。交易hash為0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過查找內部的Storage可見權限轉移給了0x38bce4b45f3d0d138927ab221560dac926999ba6地址而不是上述的0xdcc8A38A攻擊地址。交易哈希為：0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過繼續跟進0x38bce4b地址，發現是一個Timelock合約，而合約中可以調用build代幣合約函數的setGovernance函數只有executeTransaction函數。

我們跟進executeTransaction函數找到了其中的Storage。

從上圖可見0x38bce4b45f3d0d138927ab221560dac926999ba6地址將權限又轉移到了0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址，交易哈希為0x9a0c9d5d3da1019edf234d79af072c1a6acc93d21daebae4ced97ce5e41b2573，調用時間為2021年1月25日。

通過繼續跟進0x5a6ebeb6地址，在下圖可知在2022年2月9日由suho.eth發起的提案，0xdcc8A38A攻擊地址在2022年2月11日投票通過。在4天前將governance權限變更為0xdcc8A38A。

suho.eth發起的提案變更governance，投票設置的閾值較低導致提案通過，通過call調用將build合約的governance更改為0xdcc8A38A地址。

0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址部分代碼。

此地址獲取governance權限后，0xdcc8A38A地址通過build代幣合約的mint函數向本身鑄造了大約10億的build代幣，隨后去交易池掏空流動性。

獲取權限的流程圖為：

攻擊者利用類似的手法，從另外一個治理合約中轉走了該治理合約所持有的代幣資產。本次獲利共162個ETH、20014個USDC481405個DAI、75719個NCR約為112萬美元。

最后，成都鏈安提醒：DAO合約應該設置合適的投票閾值，實現真正的去中心化治理，避免很少的投票數量就使得提案通過并成功執行，建議可以參考openzeppelin官方提供的治理合約的實現。

Tags：DAOAPENCEANCSDAOAPEX幣Dogepad FinanceSingle Finance

DYDX