LOC:BlockSec：DAO Maker 700万美元被盗事件解析

本文来自BlockSec，Odaily星球日报经授权转载。8月12日，根据DAOMaker电报群用户反馈，该项目疑似遭到黑客攻击，价值700万美元的USDC被黑客提取至未知地址。BlockSec团队经过分析后发现，该事件的起因是私钥泄露或者内部人士所为。攻击过程

根据我们的交易分析系统我们发现，攻击的过程非常简单。攻击交易的hash是：0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址：0x41b856701bb8c24cece2af10651bfafebb57cf49：受害者钱包；0x1c93290202424902a5e708b95f4ba23a3f2f3cee：XXX，攻击者合约；0x0eba461d9829c4e464a68d4857350476cfb6f559：中间人；0x054e71d5f096a0761dba7dbe5cec5e2bf898971c：受害合约创建者。

BlockFi被勒令撤回未经批准的重组计划:5月22日消息，美国破产法院命令加密货币借贷平台BlockFi撤回5月13日发布的声明，因该声明未经法院批准发布。BlockFi发布的更正函显示，债权人和其他各方并不支持BlockFi的重组计划。

此前报道，BlockFi提交披露声明，将为客户提供需要的信息，以便就是否投票接受BlockFi的计划做出决定。（CoinDesk）[2023/5/22 15:19:19]

欧易OKX Blockdream Ventures战略投资Joystream:据官方消息，欧易OKX Blockdream Ventures宣布战略投资去中心化创作者平台Joystream。

Joystream的目标是为视频创作者提供其他的盈利方式，平台将他们的频道或内容变做NFT，任何人都可以投资他们喜欢的创作者，并获得这些创作者收入的份额。此外，Joystream还允许开发者在上面建立其他应用程序，为创建我们熟悉的应用及全新应用提供了机会。

对于此次合作，欧易OKX BlockDream Ventures创始人Dora表示，我们很高兴参与Joystream的投资，与joystream共同助力创作者进入DAO领域，赋予优质创作者更多的权利。Joystream为视频和内容创作者提供了更多的可能性，消费者投资自己喜欢的创作者，从他们创作的内容中分得利润，激励所有利益相关者。[2022/3/25 14:17:55]

攻击者XXX调用受害者钱包合约的函数查询用户余额，然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作，因此通常需要对调用者的身份做校验。我们通过分析发现，攻击者确实具有相应的权限来将受害者钱包中的余额转出。这里的问题就变成为什么攻击者能具有相应的权限？通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下：0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。

BlockstreamGreen桌面0.0.3版本现已发布:据官方消息，BlockstreamGreen Desktop 0.0.3版现已发布。此版本将GDK库更新到最新版本，并修复了Windows版本上无效的帐户余额。[2020/6/16]

0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限，那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢？继续追踪，我们发现它的admin权限是由另外一笔交易完成的：0x41b856701bb8c24cece2af10651bfafebb57cf49。

动态 | BitGo联合创始人加入Blockchain Capital风险投资团队:据CoinDesk消息，数字资产托管公司BitGo联合创始人Ben Davenport已加入Blockchain Capital的风险投资团队。据悉，Davenport曾创立Beluga，该公司于2011年被Facebook收购，并成为Facebook Messenger。注：Blockchain Capital在过去6年里已筹集4只基金，分别投资于Coinbase、Circle、Ripple、Kraken和block等大型加密公司。[2019/5/28]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。然而我们发现，受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。

总结一下，整个的流程是：

那问题就来了，为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢？这里有两个可能性。第一个0x054e是内鬼，第二个就是私钥泄露。其他

另外一个有趣的点就是攻击者的合约是开源的，代码简单易懂，可以作为学习合约开发的启蒙教程。

但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用？最后

最近区块链安全接连出现大的安全事件，包括PopsicleFinance双花攻击分析和PolyNetwork攻击关键步骤深度解析，损失在几百万美金到数亿美金之间。项目方如何提高安全意识，保护好代码安全和资产安全，正是BlockSec团队希望和社区一起能解决的问题。只有把安全做好，DeFi的生态才能更健康有序发展。

标签：LOCBLOCLOCKBLOCKblockchain钱包官网LINE Blockchainblock币圈blockchain是什么网站

KuCoin热门资讯