SWAP:权限攻击：DAO Maker再次被黑事件分析

北京事件9月4日，NFT赛马项目DeRace受到黑客攻击，在?DAOMaker?中进行持有者发行时因DAOMaker合约被攻击，导致400万美元的损失。

在此之前，北京时间8月12日，DAOMaker就已遭到类似黑客攻击，也是由于权限管理不当受到攻击，损失超过700万美元。累计已因为类似的权限管理不当问题，损失了超过1000万美元。

Scam Sniffer：仍有超1200个地址未撤销SushiSwap合约漏洞相关权限:4月9日消息，反网络钓鱼解决方案 Scam Sniffer 提醒称，仍有超 1200 个地址未撤销 SushiSwap 合约漏洞相关权限。[2023/4/9 13:53:09]

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

SumSwap已正式向所有用户开放交易对创建权限:据官方消息，数学创新型去中心化协议SumSwap已正式向所有用户开放交易对创建权限，目前任何人都能在SumSwap创建ERC20币种的交易对。

?据悉，SumSwap是英国区块链技术公司打造的一款去中心化项目，该项目是用数学方法对市场上多个DeFi进行整合而打造的创新型DeFi。[2021/7/16 0:58:19]

攻击者以相同的攻击手法进行多次攻击，以DeRace?Token(DERC)被攻击进行分析：

flash.sx闪电贷智能合约遭攻击，项目方发起提案更改黑客EOS账号权限以转回资产:官方消息，EOS Nation旗下闪电贷被黑客攻击后，项目方发起提案直接更改了黑客EOS账号权限转回资产。据悉，项目方发起的提案，把黑客地址权限改成了BP，BP通过后执行。此前消息，flash.sx闪电贷智能合约遭攻击，120万EOS和46.2万USDT被盗。[2021/5/15 22:05:44]

通过对0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合约反编译发现，该合约只是起到代理的作用，只有一个fallback函数，将发送过来的函数调用通过delegatecall()的方式委托调用给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

声音 | 澳本聪：“去中心化”一词已成为一种营销策略 不存在没有权限或权力的分布式开发过程:6月6日，澳本聪在其个人网站发文《完全点对点（Fully Peer-to-Peer）》，其表示，2011年，我以Satoshi的身份给Gavin发了最后一封邮件。我构建比特币是为了让它成为一个诚实的、不可改变的系统，不会遭受与ecash、自由储备美元(Liberty Reserve US Dollars)以及其他所有欺诈系统相同的问题。“去中心化”一词已成为一种营销策略。分类账可能是分布式的，但是当讨论的是一个没有设置且可以更改的协议时，那就有了一个由组织控制的软件开发过程。没有加密货币具有分布式开发过程。事实上，不存在没有权限或权力的分布式开发过程。确保分布式系统能够在不受干扰的情况下增长的唯一方法是系统在现有的法律框架内运行，并且开发人员不能更改协议。2015年，有些人想讲述我的故事，但是是在我不知情或未经批准的情况下。问题是，他们不知道完整的故事，给那些不希望我是中本聪的人留下了足够的空白，让他们播下怀疑的种子，散布彻头彻尾的谎言。所以在2016年，我别无选择，只能再次出来。在某种程度上，我之所以使用最初公布比特币时的邮件列表，是因为我以前的一所大学的一些人。我于2005年进入纽卡斯尔大学攻读统计学硕士学位，原因有二:首先，大学里的一些人对网络图理论和建模非常熟练。我需要这样的知识来开发比特币。其次，纽卡斯尔大学的一些人对货币体系的数学非常精通。进入大学后，我可以接触到他们所有的工作，这样我就可以进行研究。[2019/6/9]

同时发现其他的被攻击的erc20代币被攻击合约虽然地址不同，但是都是用的相同的智能合约来将发来的请求！。通过delegatecall()委托调用的方式给地址为0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合约进行处理。

黑客通过发送函数签名为0x84304ad7函数给0x2fd6，在代理合约中直接通过delegatecall的方式进行委托调用0xf17cinit函数。在Vesting.sol合约的init函数中，似乎并没有对msg.sender的身份进行确权操作。因此，使得攻击者成为0x2fd6的owner，随之攻击者就通过0x2fd6委托调用0xf17c合约的emergencyExit函数，进行紧急提款。

本次收到攻击者的多种erc20代币都是部署了相同或类似的代理合约进行工作的，因此攻击者依次使用相同的攻击手法进行攻击，最后兑换成了DAI，攻击者最终获利近400万美金。

这已经是DaoMaker多次受到攻击，虽然声称经过了多家不同安全公司的审计工作，但是其安全状况使人担忧。

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：SWAP区块链MSWAPAOMLatteSwap区块链专业大学排名BeamSwapAOM价格

以太坊交易所热门资讯