해킹됨: Blockchain 보안 회사인 SlowMist는 최근 DAO Maker Exploit에 대한 분석을 공유합니다 – Crowdfund Insider

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

slowmist블록체인 생태계 보안에 중점을 두고 Huobi, OKEx, Binance, imToken(거의 "총 XNUMX명의 상업 고객")에 서비스를 제공한 것으로 알려진 DAO 메이커님의 귀속 시스템이 최근에 해킹되었습니다.

슬로우미스트는 사건 보고에서 DeRace Token(DERC), Coinspaid(CPD), Capsule Coin(CAPS), Showcase Token(SHO) “모두 Dao Maker의 베스팅 시스템을 사용하며, DAO Maker 베스팅 컨트랙트는 보유자가 발행될 때 공격을 받는다. (DERC) DAO Maker , 즉 DERC 베스팅 계약 참여자의 베스팅 시스템에 취약점이 있음: Init Initialization이 인증되지 않았고 공격자가 init의 주요 매개변수를 초기화함과 동시에 소유자를 변경한 후 토큰을 훔쳤습니다. EmergencyExit를 통해 DAI로 교환합니다.”

SlowMist가 언급한 바와 같이 공격자는 "마침내 거의 4만 달러의 수익을 올렸습니다."

블록체인 보안 회사는 또한 해커가 "베스팅 계약에서 EmergencyExit 토큰을 얻기 위해 베스팅 계약의 취약점을 이용했다"고 언급했습니다.

SlowMist가 작성한 보고서에서 언급했듯이 다음은 간략한 분석입니다.

  • 가득 계약 계약 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 "디컴파일" 구현은 다음 정보를 얻습니다.
    • 베스팅 컨트랙트의 init 함수(함수 서명: 0x84304ad7)는 "호출자를 인증하지 않으며, 해커는 init 함수를 호출하여 베스팅 컨트랙트의 소유자가 됩니다."
    • 소유자는 "비상 인출을 위해 가득 계약의 EmergencyExit 기능을 호출"할 수 있습니다.

관련 계약 주소:

DERC를 예로 들면:

베스팅 에이전시 계약:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

베스팅 구현 계약:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

해커 주소:
0x2708cace7b42302af26f1ab896111d87faeff92f

SlowMist가 언급한 대로:

"같은 방식으로 다른 베스팅 계약을 공격하여 다음 토큰을 전송했습니다.":

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

"거버넌스 기술, 데이터 지원 자금 및 기관 온체인 제품의 리더"라고 주장하는 DAO Maker는 3년 2021월 1일에 "(2) DeRace(3)의 기득권 공개 판매 토큰만 ) 쇼케이스 (4) Ternoa (XNUMX) Coinspaid가 영향을 받았습니다.”

다른 암호화 토큰은 영향을 받지 않았다고 DAO Maker 팀이 확인했습니다. 그들은 또한 자신의 청구 포털이 "XNUMX개 회사의 감사를 받았다"고 언급했습니다.

3월 XNUMX일 업데이트에서 언급했듯이:

“오늘날 클레임 포털이 0% 소진된 계약이 익스플로잇을 경험했습니다. SHO 참가자에게 부여된 토큰이 도난당했습니다. 영향을 받는 모든 프로젝트의 토큰과 스마트 계약은 안전합니다. 익스플로잇은 4개의 클레임 포털에서 발생했습니다."

DAO Maker의 업데이트는 다음과 같이 추가로 언급했습니다.

"우리의 다음 단계: 단기적으로 상황 분류의 일환으로 우리는 고객 및 고객 자산의 관리와 관련된 모든 스마트 계약 운영을 중단합니다. 우리는 Polkastarter 및 대부분의 다른 런치패드와 유사하게 작동할 것입니다… 우리는 토큰 출시만 제공할 것이며 어떠한 형태의 스테이킹, 포털 또는 브리지도 제공하지 않을 것입니다. 이것은 그러한 사건이 다시 일어날 가능성을 제거합니다. 우리의 우선 순위는 커뮤니티와 생태계 프로젝트입니다. 우리는 그들의 최선의 이익을 위해 이 조치를 취합니다. 발사만 합니다.”

그들은 덧붙였다 :

"우리는 (1) SHO 참가자가 향후 릴리스에서 토큰을 받을 수 있도록 하고 (2) 오늘 영향을 받은 프로젝트를 지원하기 위해 시장에서 토큰을 획득하는 과정에 있습니다. 영향을 받는 토큰의 보류 중인 SHO 릴리스를 보충하기 위한 지속적인 구매의 부작용은 가격이 대부분 해킹 이전 수준으로 회복되었다는 것입니다.”

그들은 결론을 내렸다.

“마지막으로 그리고 무엇보다도:

  • 영향을 받는 프로젝트는 근본적으로 이전과 같이 강력합니다.
  • 토큰이나 계약에 악용이 없었습니다.
  • 출시된 토큰은 발행된 것이 아니라 공개 판매 토큰(관계없이 나중에 시장에 진입했을 것)"

뉴스 출처

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음