LEC:慢雾简析 DAO Maker 被黑：攻击者最终获利近 400 万美元

链闻消息，据慢雾区情报，DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken、Coinspaid、CapsuleCoin、ShowcaseToken都使用了DaoMaker的分发系统，在DAOMaker中进行持有者发行时因DAOMaker合约被攻击，即SHO参与者的分发系统中出现了一个漏洞：init未初始化保护，攻击者初始化了init的关键参数，同时变更了owner，然后通过emergencyExit将目标代币盗走，并兑换成了DAI，攻击者最终获利近400万美元。黑客利用Vesting合约中的漏洞，将Vesting合约中的代币提走，如下是简要分析：对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息：1.Vesting合约中的init函数(函数签名：0x84304ad7)，没有对调用者进行鉴权，黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数，进行紧急提款。

声音 | 慢雾余弦：以太坊Mist浏览器当时选型Electron做浏览器是很悲催的决定:慢雾余弦发微博表示，以太坊Mist浏览器决定关停的一个重要原因确实是“安全考虑”，他们当时选型Electron（基于Chromium和Node.js的）来做浏览器确实是个很悲催的决定，Electron本身对许多0day的修复速度就很慢，JavaScript世界的安全问题又很多，而Mist定位的核心部分是钱包+DApp浏览，这导致许多安全风险容易放大甚至失控，导致Mist不得不费很多不必要的精力在Electron本身的安全问题上，还不如放弃、重建。[2019/3/25]

声音 | 慢雾区：Electrum伪造升级提示的钓鱼攻击盗窃至少200个BTC:据慢雾区消息，Electrum伪造升级提示的钓鱼攻击已盗窃至少 200 枚BTC，此次攻击单靠升级 Electrum无法避免，需要整个生态服务都做对应的改动（因为 Electrum 这个客户端并不是全节点，然后在交易广播上和对应的服务端有消息通讯，攻击者也可以部署恶意服务端）。慢雾区提醒用户，Electrum这类钓鱼攻击需要长期警惕。慢雾区此前发布Electrum钓鱼更新事件预警，对Electrum钱包进行攻击的黑客利用Electrum的软件异常构造恶意的软件更新提示，诱导用户更新下载恶意软件使用。[2019/1/4]

动态 | 慢雾区再发预警，请 DApp 开发者自查随机数:知名 DApp EOSDice 再次由于随机数问题被黑，攻击者是之前攻击 EOSDice 及 FFGame DApp 的黑客，攻击手法也是由于使用了可控的随机数种子，在之前（11-8号）慢雾已经预警过攻击手法，请各位 DApp 开发者仔细核对自己的随机数种子和算法是否可被预测，勿存在任何侥幸。[2018/11/10]

标签：LECECTRECTCTRCOLLECTIVE币spectrecoinECTTENCTR价格

比特币最新价格热门资讯