木星链 木星链
Ctrl+D收藏木星链

EST:慢雾:DAO Maker 的 Vesting 合约遭到黑客攻击简析

作者:

时间:1900/1/1 0:00:00

链捕手消息,据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。

慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息,慢雾发推称,CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示,TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX,而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]

黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:

慢雾:Transit Swap黑客攻击交易被抢跑,套利机器人获利超100万美元:10月1日消息,据慢雾安全团队情报,Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址,建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系,共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:

慢雾:BXH于BSC链被盗的ETH、BTC类资产已全部跨链转至相应链:11月3日消息,10月30日攻击BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/11/3 6:28:49]

1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。

相关合约地址:

Vesting代理合约:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting实现合约:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f

标签:ESTINGVESTTINDESTKingdomINVEST币Sentinel Chain

火必交易所热门资讯
数字货币:数字货币犯罪中“违法性认识”困境及破解

当前,数字货币已成为我国支付体系的重要组成部分。与此同时,由于数字货币具有去中心化、匿名性和公开性等属性,其对国家金融信用资金安全与稳定也造成了一定的影响.

1900/1/1 0:00:00
区块链:数字社交平台Discord以150亿美元估值完成5亿美元融资

链捕手消息,知情人士透露,数字社交平台Discord在新一轮融资中以50亿美元估值完成5亿美元融资.

1900/1/1 0:00:00
EDEN:Multicoin领投Eden Network,但其研究报告遭Flashbots开发者严厉质疑

作者:谷昱9月8日,MulticoinCapital宣布领投以太坊优先交易网络EdenNetwork,并发布研究报告.

1900/1/1 0:00:00
WOR:Worldcoin推出“Free coin to everyone”项目,计划2年内让10亿人持有加密货币

链捕手消息,在a16z的支持下,由SamAltman共同创立的加密独角兽Worldcoin近日宣布推出一项名为“Freecointoeveryone”的项目.

1900/1/1 0:00:00
区块链:江苏省通信管理局全面排查虚拟货币“挖矿”行为:监测到4502个相关IP

链捕手消息,据江苏省通信管理局发布的公告,将全面排查江苏省虚拟货币“挖矿”行为,监测发现江苏开展虚拟货币活动的矿池出口流量达136.77Mbps,参与“挖矿”的互联网IP地址总数4502个.

1900/1/1 0:00:00
区块链:2021NFT生态研究报告

本文来源于WebX实验室。NFT为加密世界带来了稀缺性和多样性,同时也带来了新的泡沫,但NFT的火热的确为区块链带来了崭新的玩儿法和应用场景.

1900/1/1 0:00:00