[DAO Maker的Vesting合约遭到黑客攻击,攻击者最终获利近400万美金]据慢雾区情报,DAO Maker的Vesting合约遭到黑客攻击。DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分发系统,在DAO Maker中进行持有者发行(SHO)时因DAO Maker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。
黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:
1. Vesting合约中的init函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。
2. Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。
数据:26.94亿ARB从DAO财政部转移到140个地址:金色财经报道,链上分析公司 Arkham Intelligence 数据显示,ARB 代币持有者与 Arbitrum 基金会冲突中的 7.5 亿枚 ARB 代币中只有 5050 万个被转移。1000 万个代币已发送到交易所出售,4000 万个已借给 Wintermute,其余 50 万个未动用在多重签名钱包(标记为 Gnosis Safe Proxy)中。此外,监测显示,另一笔 26.94 亿 ARB 代币从 DAO 财政部转移到 140 个地址,每个地址的转账从 100,000 到 7160 万 ARB 不等。
加密分析提供商 LookOnChain 发现其中一个地址将他们的代币转移到了 Coinbase 交易所,这意味着他们可以出售他们的分配。这些代币代表分配给团队、投资者和顾问的金额,据说这些代币被锁定了四年。[2023/4/5 13:45:17]
StarkWare正与MakerDAO在StarkNet上开发DAI铸造功能:零知识证明技术开发公司StarkWare正在与MakerDAO合作以在ZK Rollup扩容方案StarkNet上铸造DAI。根据MakerDAO社区的一份提案,目前Starknet团队正在构建ERC20桥来将DAI桥接到StarkNet,下一阶段用户将能在StarkNet上铸造DAI,第三阶段将把Maker的核心组件拓展到L2。关于该计划的预算提案将在未来几天内发布。[2021/8/12 1:50:02]
MakerDao社区已支持将YFI-A债务上提高至2000万DAI:据Yearn.Finance官方11月20日消息,MakerDao社区已于日前通过民意调查,表示支持将YFI-A债务上限从700万DAI调整为2000万DAI。[2020/11/20 21:26:09]
郑重声明: DAO Maker的Vesting合约遭到黑客攻击,攻击者最终获利近400万美金版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。