ハッキング:Blockchain Security Firm SlowMistが最近のDAOメーカーのエクスプロイトの分析を共有– Crowdfund Insider

広告中点
広告中点
広告中点
広告中点

スローミストは、ブロックチェーンエコシステムのセキュリティに焦点を当てており、Huobi、OKEx、Binance、imToken(「合計で約XNUMXの商用顧客」)にサービスを提供していると報告されています。 DAOメーカーの権利確定システムは最近ハッキングされました。

SlowMistはインシデントレポートで、DeRace Token(DERC)、Coinspaid(CPD)、Capsule Coin(CAPS)、Showcase Token(SHO)が「すべてDao Makerの権利確定システムを使用しており、所有者が発行されるとDAOMakerの権利確定契約が攻撃されることを確認しました。 (DERC)DAO Makerで、つまり、DERCの権利​​確定契約参加者の権利確定システムに脆弱性があります:初期化の初期化が認証されておらず、攻撃者はinitの主要なパラメーターを初期化し、同時に所有者を変更してから、トークンを盗みましたEmergencyExitを介して、DAIに交換します。」

SlowMistが指摘しているように、攻撃者は「最終的に4万ドル近くの利益を上げました」。

ブロックチェーンセキュリティ会社はまた、ハッカーが「権利確定契約の脆弱性を利用して、権利確定契約のトークンを緊急終了する」と述べました。

SlowMistが作成したレポートで述べたように、以下は簡単な分析です。

  • 権利確定契約契約の実装0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2「逆コンパイル」は次の情報を取得します。
    • 権利確定契約のinit関数(関数シグネチャ:0x84304ad7)は、「呼び出し元を認証せず、ハッカーはinit関数を呼び出すことによって権利確定契約の所有者になります」。
    • 所有者は、「権利確定契約のemergencyExit関数を呼び出して、緊急撤退を行う」ことができます。

関連する契約アドレス:

例としてDERCを取り上げます。

権利確定代理店契約:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

権利確定実施契約:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

ハッカーの住所:
0x2708cace7b42302af26f1ab896111d87faeff92f

SlowMistが指摘したように:

「同じように、他の権利確定契約を攻撃し、次のトークンを譲渡しました」:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

「ガバナンス技術、データ支援資金調達、および機関のオンチェーン製品のリーダー」であると主張するDAO Makerは、3年2021月1日に、何よりもまず、「(2)DeRace(3 )ショーケース(4)テルノア(XNUMX)コインペイドが影響を受けました。」

他の暗号トークンは影響を受けなかった、とDAOMakerチームは確認しました。 彼らはまた、彼らのクレームポータルは「XNUMX社によって監査されている」と述べた。

3月XNUMX日付けのアップデートで言及されているように。

「今日、バーンが0%のクレームポータルを持っていた契約は、エクスプロイトを経験しました。 SHO参加者に付与されたトークンが盗まれました。 影響を受けるすべてのプロジェクトのトークンとスマートコントラクトは安全です。 このエクスプロイトは、4つのクレームポータルで発生しました。」

DAOMakerからのアップデートはさらに次のように述べています。

「私たちの次のステップ:状況のトリアージの一環として、短期的には、顧客とクライアントの資産の管理を伴うすべてのスマートコントラクト操作を停止します。 Polkastarterや他のほとんどのランチパッドと同様に動作します…。 トークンの起動のみを提供し、いかなる形式のステーキング、ポータル、またはブリッジも提供しません。 これにより、そのようなイベントが再び発生する可能性がなくなります。 私たちの優先事項は、私たちのコミュニティと私たちの生態系プロジェクトの両方です。 私たちは彼らの最善の利益のためにこの一歩を踏み出します。 起動するだけです。」

彼らは追加しました:

「私たちは、(1)SHO参加者が将来のリリースでトークンを確実に取得し、(2)今日影響を受けたプロジェクトをサポートするために、市場でトークンを取得する過程にあります。 影響を受けたトークンの保留中のSHOリリースを補充するための継続的な購入の副次的な結果は、それらの価格がハッキング前のレベルにほぼ回復したことです。」

彼らは結論した:

「最後に、そして何よりも:

  • 影響を受けたプロジェクトは基本的に以前と同じくらい強力なままです
  • トークンや契約にエクスプロイトはありませんでした
  • リリースされたトークンは作成されませんでしたが、代わりに公開販売トークン(後日市場に参入したはずです)」

ニュースソース

広告底部
広告底部
広告底部
広告底部

コメントはありません