Hacket: Blockchain Security Firm SlowMist -aktier Analyse af seneste DAO Maker Exploit - Crowdfund Insider

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

SlowMist, der fokuserer på blockchain økosystemsikkerhed og angiveligt har betjent Huobi, OKEx, Binance, imToken (næsten "tusind kommercielle kunder i alt"), afslører, at DAO Maker's vesting system blev for nylig hacket.

SlowMist bekræftede i en hændelsesrapport, at DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) “alle bruger Dao Makers vesting system, og DAO Maker vestingskontrakt angribes, når indehaveren udstedes (DERC) i DAO Maker, dvs. der er en sårbarhed i vesting -systemet for DERC -vestingkontraktdeltagere: Initialisering blev ikke godkendt, angriberen initialiserede nøgleparametrene for init og ændrede ejeren på samme tid og stjal derefter tokenet gennem emergencyExit og skift det til DAI. ”

Som bemærket af SlowMist opnåede angriberen "endelig et overskud på næsten 4 millioner dollars."

Blockchain -sikkerhedsfirmaet nævnte også, at hackerne "udnyttede sårbarheden i optjeningskontrakten til at nødstilfælde tokens i optjeningskontrakten."

Som nævnt i en rapport udarbejdet af SlowMist er følgende en kort analyse:

  • Implementering af optjeningskontrakt 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 “dekompileret” få følgende oplysninger:
    • Init -funktionen i optjeningskontrakten (funktionssignatur: 0x84304ad7) "godkender ikke opkalderen, og hackeren bliver ejer af optjeningskontrakten ved at kalde init -funktionen."
    • Ejeren kan "ringe til emergencyExit -funktionen i optjeningskontrakten for at foretage nødoptagelser."

Relateret kontraktadresse:

Tag DERC som et eksempel:

Vesting agentur kontrakt:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting implementeringskontrakt:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Hacker adresse:
0x2708cace7b42302af26f1ab896111d87faeff92f

Som bemærket af SlowMist:

"På samme måde angreb den andre optjeningskontrakter og overførte følgende tokens":

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, der hævder at være "førende inden for governance-teknologi, datastøttet finansiering og institutionelle onchain-produkter", bemærkede den 3. september 2021, at først og fremmest "kun de offentlige salgstegn for (1) DeRace (2 ) Showcase (3) Ternoa (4) Coinspaid blev påvirket. ”

Andre kryptotokens var upåvirket, bekræftede DAO Maker -teamet. De nævnte også, at deres kravportal er "revideret af tre virksomheder."

Som nævnt i en opdatering, dateret 3. september:

”I dag oplevede de kontrakter, der havde en skadeportal med et forbrænding på 0%, en udnyttelse. Tokenserne til SHO -deltagere blev stjålet. Tokens og smarte kontrakter for alle berørte projekter er sikre. Udnyttelsen fandt sted i 4 af vores kravportaler. ”

Opdateringen fra DAO Maker bemærkede yderligere:

“Vores næste trin: På kort sigt som et led i at triage situationen, ophører vi med alle smarte kontraktoperationer, der involverer forvaring af kunde- og klientaktiver. Vi kommer til at fungere på samme måde som Polkastarter og de fleste andre startpuder .... Vi tilbyder kun token -lanceringen og ikke nogen form for staking, portal eller bro. Dette fjerner sandsynligheden for, at en sådan hændelse nogensinde vil ske igen. Vores prioritet er både vores samfund og vores økosystemprojekter. Vi tager dette skridt i deres bedste interesse. Lanceres kun. ”

De tilføjede:

“Vi er i gang med at erhverve tokens på markedet for at (1) sikre, at SHO -deltagere får tokens på fremtidige udgivelser og (2) støtte de projekter, der blev berørt i dag. Et bivirkning af vores løbende køb for at genopbygge de ventende SHO-udgivelser af berørte tokens er, at deres priser for det meste er kommet tilbage til niveauet før hack. ”

De konkluderede:

“Endelig og frem for alt:

  • de berørte projekter forbliver fundamentalt lige så stærke som før
  • der var ingen udnyttelse i deres token eller kontrakter
  • de frigivne tokens blev ikke præget, men i stedet offentlige salgstokener (der uanset senere ville være kommet på markedet på et senere tidspunkt) ”

Nyhedskilde

ad-bund
ad-bund
ad-bund
ad-bund

INGEN KOMMENTARER