Gehackt: Blockchain-Sicherheitsfirma SlowMist teilt Analyse des jüngsten DAO-Maker-Exploits – Crowdfund Insider

Ad-Midbar
Ad-Midbar
Ad-Midbar
Ad-Midbar

slowmist, das sich auf die Sicherheit des Blockchain-Ökosystems konzentriert und Berichten zufolge Huobi, OKEx, Binance, imToken (fast „insgesamt tausend kommerzielle Kunden“) bedient hat, zeigt dies Messermacher's Vesting-System wurde kürzlich gehackt.

SlowMist bestätigte in einem Vorfallsbericht, dass DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) „alle das Vesting-System von Dao Maker verwenden und der DAO Maker-Freizügigkeitsvertrag angegriffen wird, wenn der Inhaber ausgestellt wird (DERC) im DAO Maker , dh es gibt eine Schwachstelle im Vesting-System von DERC-Vesting-Vertragsteilnehmern: Init Initialization war nicht authentifiziert, der Angreifer initialisierte die Schlüsselparameter von init, wechselte gleichzeitig den Besitzer und stahl dann den Token durch EmergencyExit und tausche es in DAI ein.“

Wie SlowMist feststellte, machte der Angreifer „endlich einen Gewinn von fast 4 Millionen US-Dollar“.

Die Blockchain-Sicherheitsfirma erwähnte auch, dass die Hacker „die Schwachstelle im Vesting-Vertrag ausgenutzt haben, um die Token im Vesting-Vertrag im Notfall zu verlassen“.

Wie in einem von SlowMist erstellten Bericht erwähnt, ist das Folgende eine kurze Analyse:

  • Umsetzung des Vesting-Vertragsvertrags 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 „dekompiliert“ erhalten Sie die folgenden Informationen:
    • Die init-Funktion im Vesting-Vertrag (Funktionssignatur: 0x84304ad7) „authentifiziert den Anrufer nicht, und der Hacker wird durch Aufruf der init-Funktion zum Eigentümer des Vesting-Vertrags.“
    • Der Eigentümer kann „im Freizügigkeitsvertrag die Funktion EmergencyExit aufrufen, um Notabhebungen vorzunehmen“.

Zugehörige Vertragsadresse:

Nehmen wir DERC als Beispiel:

Vertrag über die Ausübungsstelle:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Ausübungsvertrag zur Ausübung:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Hacker-Adresse:
0x2708cace7b42302af26f1ab896111d87faeff92f

Wie von SlowMist bemerkt:

„In gleicher Weise griff es andere Vesting-Verträge an und übertrug die folgenden Token“:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, das behauptet, "der führende Anbieter von Governance-Technologie, datengestützter Finanzierung und institutionellen Onchain-Produkten zu sein", stellte am 3. ) Vitrine (2021) Ternoa (1) Bezahlte Münzen waren betroffen.“

Andere Krypto-Token waren davon nicht betroffen, bestätigte das DAO Maker-Team. Sie erwähnten auch, dass ihr Schadenportal „von drei Unternehmen geprüft“ wird.

Wie in einem Update vom 3. September erwähnt:

„Heute erlebten die Verträge, die ein Anspruchsportal mit einem Brennwert von 0 % hatten, einen Exploit. Die für SHO-Teilnehmer ausgestellten Token wurden gestohlen. Die Token und Smart Contracts aller betroffenen Projekte sind sicher. Der Exploit fand in 4 unserer Claim-Portale statt.“

Das Update von DAO Maker stellte weiter fest:

„Unsere nächsten Schritte: Kurzfristig stellen wir im Rahmen der Überprüfung der Situation alle Smart-Contract-Operationen ein, die die Verwahrung von Kunden- und Kundenvermögen beinhalten. Wir werden ähnlich wie Polkastarter und die meisten anderen Launchpads arbeiten…. Wir werden nur den Token-Start anbieten und keine Form von Staking, Portal oder Bridge. Dies beseitigt die Wahrscheinlichkeit, dass ein solches Ereignis jemals wieder eintritt. Unsere Priorität ist sowohl unsere Community als auch unsere Ökosystemprojekte. Wir gehen diesen Schritt in ihrem besten Interesse. Nur startet.“

Sie fügten hinzu:

„Wir sind dabei, Token auf dem Markt zu erwerben, um (1) sicherzustellen, dass SHO-Teilnehmer Token für zukünftige Releases erhalten und (2) die heute betroffenen Projekte zu unterstützen. Ein Nebenergebnis unserer laufenden Käufe zur Auffüllung der ausstehenden SHO-Veröffentlichungen betroffener Token ist, dass sich ihre Preise größtenteils auf das Niveau vor dem Hack erholt haben.“

Sie kamen zu dem Schluss:

„Endlich und vor allem:

  • die betroffenen Projekte bleiben grundsätzlich unverändert stark
  • es gab keinen Exploit in ihrem Token oder in ihren Verträgen
  • die freigegebenen Token wurden nicht geprägt, sondern öffentliche Verkaufstoken (die unabhängig davon zu einem späteren Zeitpunkt auf den Markt gekommen wären)“

Nachrichtenquelle

Ad-unten
Ad-unten
Ad-unten
Ad-unten

KEINE KOMMENTARE