Piraté: la société de sécurité Blockchain SlowMist partage l'analyse de l'exploit récent de DAO Maker - Crowdfund Insider

ad-midbar
ad-midbar
ad-midbar
ad-midbar

slowmist, qui se concentre sur la sécurité de l'écosystème blockchain et aurait servi Huobi, OKEx, Binance, imToken (près de "un millier de clients commerciaux au total"), révèle que Créateur DAOLe système de dévolution de a récemment été piraté.

SlowMist a confirmé dans un rapport d'incident que DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) "utilisent tous le système d'acquisition de Dao Maker, et le contrat d'acquisition de DAO Maker est attaqué lorsque le titulaire est émis (DERC) dans DAO Maker , c'est-à-dire qu'il existe une vulnérabilité dans le système d'acquisition des participants au contrat d'acquisition DERC : l'initialisation d'Init n'était pas authentifiée, l'attaquant a initialisé les paramètres clés d'init et a changé de propriétaire en même temps, puis a volé le jeton via emergencyExit et échangez-le dans DAI.

Comme l'a noté SlowMist, l'attaquant "a finalement réalisé un bénéfice de près de 4 millions de dollars".

La société de sécurité blockchain a également mentionné que les pirates "ont profité de la vulnérabilité du contrat d'acquisition pour sortir d'urgence des jetons du contrat d'acquisition".

Comme mentionné dans un rapport préparé par SlowMist, voici une brève analyse :

  • Mise en œuvre du contrat d'acquisition 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 "décompilé" obtenez les informations suivantes :
    • La fonction init dans le contrat d'acquisition (signature de fonction : 0x84304ad7) « n'authentifie pas l'appelant, et le pirate devient le propriétaire du contrat d'acquisition en appelant la fonction init ».
    • Le Propriétaire peut « appeler la fonction EmergencyExit dans le contrat d'acquisition pour effectuer des retraits d'urgence ».

Adresse du contrat associé :

Prenons le DERC comme exemple :

Contrat d'agence d'acquisition :
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Contrat de mise en œuvre d'acquisition :
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Adresse du pirate :
0x2708cace7b42302af26f1ab896111d87faeff92f

Comme l'a noté SlowMist :

"De la même manière, il a attaqué d'autres contrats d'acquisition, transférant les jetons suivants":

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, qui prétend être "le leader de la technologie de gouvernance, du financement basé sur les données et des produits institutionnels en chaîne", a noté le 3 septembre 2021 que d'abord et avant tout, "seuls les jetons de vente publique acquis de (1) DeRace (2 ) Vitrine (3) Ternoa (4) Coinspaid ont été affectés.

Les autres jetons cryptographiques n'ont pas été affectés, a confirmé l'équipe DAO Maker. Ils ont également mentionné que leur portail de réclamation est « audité par trois sociétés ».

Comme mentionné dans une mise à jour, datée du 3 septembre :

«Aujourd'hui, les contrats qui avaient un portail de réclamation avec une combustion de 0% ont connu un exploit. Les jetons dévolus aux participants SHO ont été volés. Les jetons et les contrats intelligents de tous les projets concernés sont sécurisés. L'exploit a eu lieu dans 4 de nos portails de réclamation.

La mise à jour de DAO Maker a en outre noté :

«Nos prochaines étapes : à court terme, dans le cadre du tri de la situation, nous cessons toutes les opérations de contrat intelligent qui impliquent la garde des clients et des actifs des clients. Nous allons fonctionner de la même manière que Polkastarter et la plupart des autres rampes de lancement…. Nous n'offrirons que le lancement de jetons, et aucune forme de jalonnement, de portail ou de pont. Cela supprime la probabilité qu'un tel événement se reproduise. Notre priorité est à la fois notre communauté et nos projets écosystémiques. Nous prenons cette mesure dans leur meilleur intérêt. Seuls les lancements.

Ils ont ajouté:

«Nous sommes en train d'acquérir des jetons sur le marché pour (1) nous assurer que les participants SHO obtiennent des jetons sur les futures versions et (2) soutenir les projets qui ont été affectés aujourd'hui. Un résultat secondaire de nos achats en cours pour reconstituer les versions SHO en attente des jetons concernés est que leurs prix ont pour la plupart récupérés au niveau d'avant le piratage.

Ils ont conclu:

« Enfin et surtout :

  • les projets touchés restent fondamentalement aussi solides qu'avant
  • il n'y avait pas d'exploit dans leur jeton ou leurs contrats
  • les jetons libérés n'ont pas été frappés, mais plutôt des jetons de vente publique (qui seraient entrés sur le marché à une date ultérieure de toute façon) »

Source de nouvelles

fond d'annonce
fond d'annonce
fond d'annonce
fond d'annonce

SANS COMMENTAIRES