權限攻擊：DAO Maker被黑事件分析_AOM:AOM價格

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。北京時間8月12日，DAOMaker遭到黑客攻擊，大量用戶充值的USDC被轉出并換成約2261個以太坊，損失超過700萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。

ParaSwap回應合約部署地址私鑰泄露：正在調查，該地址已沒有權限:10月11日消息，ParaSwap回應合約部署地址私鑰泄露問題，表示正在調查此事。不過該地址在合約部署后已沒有權限。

此前報道，paraswap部署者私鑰疑似泄露，資金在多個鏈上被盜。[2022/10/11 10:30:52]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析，其他的都是一樣的攻擊方式。

SumSwap已正式向所有用戶開放交易對創建權限:據官方消息，數學創新型去中心化協議SumSwap已正式向所有用戶開放交易對創建權限，目前任何人都能在SumSwap創建ERC20幣種的交易對。

?據悉，SumSwap是英國區塊鏈技術公司打造的一款去中心化項目，該項目是用數學方法對市場上多個DeFi進行整合而打造的創新型DeFi。[2021/7/16 0:58:19]

通過交易記錄發現，DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易，將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1，這350名受害者地址以數組的形式傳入交易的inputdata。

Plasm將使用NFTY Connect為其PolkaPet NFT持有者提供特殊訪問權限:3月27日消息，波卡二層擴容協議Plasm Network宣布與專注于NFT生態系統發展的基金會NFTY Labs達成合作，將利用NFTY Connect為持有NFT的用戶提供特殊訪問權限（SPAR），為Plasm PolkaPet NFT所有者增加價值。只需將NFT放在錢包中并獲得VIP社區會員訪問權限，這將使社區從中獲得更多價值。

據悉，NFTY Connect是NFTY的第一款產品，功能包括創建NFT特殊訪問權限（SPAR）、使用Web 3.0去中心化營銷工具、解鎖NFT持有者的專屬訪問權限。[2021/3/27 19:22:51]

幣安發布SUB智能合約權限風險提示:幣安公告稱，經審核僅SUB代幣存在項目方超權限風險，我們檢查了區塊鏈記錄，確認這個權限并未被使用后，與SUB團隊及時進行了溝通，SUB確認了這個問題并將提供解決方案。[2018/6/11]

對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下：

可以看到只有msg.sender即：攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現：122天前合約部署人給現任管理員授權；

而后，一天前現任管理員創建攻擊合約XXX。

現任管理員給攻擊合約XXX授權。

隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC，將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作！！！攻擊者獲得現任管理員的控制權；?管理員創建了攻擊合約XXX并對其授權；DAOMakerExploiter1調用攻擊合約XXX獲利。因此，本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。二、安全建議SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：AOMDAONFTMAKEAOM價格makerdao怎么讀NFTALLBI價格Moon Maker Protocol

幣贏