慢雾简析 DAO Maker 被黑:攻击者最终获利近 400 万美元

区块链指南消息,据慢雾区情报,DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。

黑客利用 Vesting 合约中的漏洞,将 Vesting 合约中的代币提走,如下是简要分析:
对 Vesting 合约的实现合约 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 进行反编译得到如下信息:

  1. Vesting 合约中的 init 函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行 init 函数成为 Vesting 合约的 Owner。
  2. Owner 可以执行 Vesting 合约中的 emergencyExit 函数,进行紧急提款。
区块链快讯

Loot 创始人发起无 Gas 通用 Loot 扩展项目提案并建议自动提供给生态用户,若要交易可单独认领为 NFT

2021-9-4 17:06:35

区块链快讯

Vitalik Buterin:希望狗狗币能尽快切换到 PoS,可以使用以太坊代码

2021-9-5 11:18:05

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索