巴比特讯,据慢雾区情报,DAO Maker的Vesting合约遭到黑客攻击。DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分发系统,在DAO Maker中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了 DAI,攻击者最终获利近400万美金。 黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析: 对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息: 1. Vesting合约中的init函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。 2. Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。 利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。 —- 编译者/作者:Yangz 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
慢雾:DAO Maker Vesting合约遭黑客攻击,攻击者获利近400万美金
2021-09-04 Yangz 来源:区块链网络
LOADING...
相关阅读:
- 联合BaconDAO的AnySwap多链池即将上线2021-09-03
- 一文读懂 Ribbon V2 核心升级及产品实现原理2021-09-03
- Messari:论为何闪电式扩张才是DAO应有的发展方式?2021-09-03
- DeFi 治理聚合协议 PowerPool 推出指数产品 BSCDEFI,包含 CAKE、XVS 等代币2021-09-02
- 收藏家组织 FingerprintsDAO 完成 a16z、ConsenSys Mesh 等参投的融资2021-09-02