DAO:权限攻击：DAO Maker被黑事件分析

摘要:本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。北京时间8月12日，DAOMaker遭到黑客攻击，大量用户充值的USDC被转出并换成约2261个以太坊，损失超过700万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。

CoinList：从第三方购买CoinList账户存在违反服务条款、账户卖方重新获得访问权限等危险:5月12日消息，CoinList 发推提醒称，从第三方购买 CoinList 账户存在严重危险和后果，购买账户直接违反 CoinList 服务条款，将导致相关帐户立即终止。另外，由于创建账户的卖方是 KYC 的所有者，因此他们可以随时返回 CoinList 并重新获得对其账户的访问权限，然后，账户卖方可以提取资金，这将给账户买方带来不可逆转的损失。[2023/5/12 14:59:02]

Rabby Wallet新增合约权限撤销功能，支持一键撤销多个合约权限:10月28日消息，DeBank插件钱包Rabby Wallet新增合约权限撤销功能，用户可在钱包内查看所有已许可合约，并支持一键撤销多个合约权限[2022/10/28 11:51:38]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析，其他的都是一样的攻击方式。

ConstitutionDAO计划永久放弃多重签名的访问权限:12月15日，去中心化自治组织ConstitutionDAO宣布将永久放弃ConstitutionDAO所有权。

ConstitutionDAO多重签名将执行Juicebox智能合约的“放弃所有权”（renounceOwnership），从而永久销毁多重签名的访问权限。在放弃所有权后，ConstitutionDAO核心团队和多重签名者将不能再以任何方式对合约拥有任何权力或控制权。这意味着Juicebox中的资金和代币将无限期地保留在那里，永远无法被操纵。

ConstitutionDAO将在美国东部标准时间2021年12月17日星期五20时至12月20日期间“放弃所有权”。并将于美国东部时间2021年12月21日20时之前关闭Discord服务器。后续将针对本次事件发出正式公告。[2021/12/15 7:40:47]

慢雾余弦：SushiSwap仿盘项目KIMCHI项目方权限过大可任意铸币:9月2日消息，慢雾创始人余弦发微博分析，SushiSwap仿盘项目KIMCHI（泡菜）项目方确实拥有任意铸币的权限，只是如果项目方要任意铸币，至少需要等待2天时间。对接泡菜的平台可以观测泡菜厨师的devaddr地址是否变更为泡菜厨师的当前owner地址。[2020/9/2]

通过交易记录发现，DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易，将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1，这350名受害者地址以数组的形式传入交易的inputdata。

分析 | 慢雾科技：钱包被注入恶意代码 可能是网站管理员没有维护好代码权限:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事，慢雾科技在接受金色财经采访时分析指出：“钱包被注入恶意代码，有可能是网站的管理员没有维护好代码的权限。导致网页代码被攻击者加入了恶意代码。恶意代码会窃取助记词、私钥等等的东西发送到攻击者自己的服务器上面，就像一个后门一样。类似的事件，以前也发生过不少，主要还是钱包的问题，从用户角度来看, 尽量不要用这种网页钱包。”[2019/10/12]

对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下：

可以看到只有msg.sender即：攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现：122天前合约部署人给现任管理员授权；

而后，一天前现任管理员创建攻击合约XXX。

现任管理员给攻击合约XXX授权。

随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC，将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作！！！攻击者获得现任管理员的控制权；?管理员创建了攻击合约XXX并对其授权；DAOMakerExploiter1调用攻击合约XXX获利。因此，本次攻击原因很可能是现任管理员密钥被盗取，SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术，避免单点攻击风险。二、安全建议SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：DAOOMAMakerMAKEGDAONeonomad FinanceMaker Basicmaker币行情

世界币热门资讯