Взломано: Фирма SlowMist, занимающаяся безопасностью блокчейнов, делится анализом недавнего использования DAO Maker - Crowdfund Insider

ад-Мидбар
ад-Мидбар
ад-Мидбар
ад-Мидбар

SlowMist, который фокусируется на безопасности экосистемы блокчейна и, как сообщается, обслуживает Huobi, OKEx, Binance, imToken (в общей сложности почти «тысячу коммерческих клиентов»), показывает, что Создатель DAOнедавно была взломана система наделения правами.

SlowMist подтвердил в отчете об инциденте, что DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) «все используют систему передачи прав Dao Maker, а контракт на передачу прав DAO Maker подвергается атаке при выдаче держателя. (DERC) в DAO Maker, т. Е. Существует уязвимость в системе передачи прав участников контракта по передаче прав DERC: инициализация инициализации не прошла аутентификацию, злоумышленник инициализировал ключевые параметры init и одновременно сменил владельца, а затем украл токен. через EmergencyExit и поменять его на DAI ».

Как отмечает SlowMist, злоумышленник «наконец получил прибыль в размере почти 4 миллионов долларов».

Фирма, занимающаяся безопасностью блокчейнов, также упомянула, что хакеры «воспользовались уязвимостью в контракте на передачу прав для аварийного выхода токенов в контракте на передачу прав».

Как упоминалось в отчете, подготовленном SlowMist, ниже приводится краткий анализ:

  • Выполнение контракта на переход 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 «декомпилировано», получаем следующую информацию:
    • Функция init в контракте о передаче прав (подпись функции: 0x84304ad7) «не аутентифицирует вызывающего, и хакер становится владельцем контракта о передаче прав, вызывая функцию init».
    • Владелец может «вызвать функцию EmergencyExit в договоре о передаче прав для экстренного вывода средств».

Связанный адрес контракта:

Возьмем для примера DERC:

Договор с вестинг-агентством:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Договор на реализацию вестинга:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Адрес хакера:
0x2708cace7b42302af26f1ab896111d87faeff92f

Как отмечает SlowMist:

«Таким же образом он атаковал другие контракты на передачу прав, передав следующие токены»:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, который утверждает, что является «лидером в области технологий управления, финансирования с поддержкой данных и институциональных ончейн-продуктов», 3 сентября 2021 г. отметил, что, прежде всего, «только токены публичной продажи (1) DeRace (2 ) Витрина (3) Терноа (4) Coinspaid были затронуты ».

Команда DAO Maker подтвердила, что другие крипто-токены не пострадали. Они также упомянули, что их портал заявок «проверяется тремя компаниями».

Как упоминалось в обновлении от 3 сентября:

«Сегодня контракты, которые имели портал претензий с 0% ожогов, подверглись эксплойту. Были украдены жетоны участников SHO. Токены и смарт-контракты всех затронутых проектов защищены. Эксплойт произошел на 4 наших порталах заявок ».

В обновлении от DAO Maker также говорится:

«Наши следующие шаги: в краткосрочной перспективе, в рамках сортировки ситуации, мы прекращаем все операции смарт-контрактов, которые связаны с хранением клиентских и клиентских активов. Мы собираемся работать так же, как Polkastarter и большинство других стартовых площадок…. Мы будем предлагать только запуск токена, а не какую-либо форму ставок, портала или моста. Это исключает вероятность того, что любое подобное событие когда-либо произойдет снова. Нашим приоритетом является как наше сообщество, так и наши экосистемные проекты. Мы делаем этот шаг в их интересах. Только запускает ».

Они добавили:

«Мы находимся в процессе приобретения токенов на рынке, чтобы (1) гарантировать, что участники SHO получат токены при будущих выпусках и (2) поддержать проекты, которые были затронуты сегодня. Побочным результатом наших постоянных покупок для пополнения ожидающих выпусков SHO затронутых токенов является то, что их цены в основном восстановились до уровня до взлома ».

Они пришли к выводу:

«Наконец, и прежде всего:

  • затронутые проекты остаются в основном такими же сильными, как и раньше
  • в их токене или контрактах не было эксплойта
  • выпущенные токены не были отчеканены, а вместо них были выпущены токены публичной продажи (которые, в любом случае, поступили бы на рынок позже) »

Источник новостей

Объявление дно
Объявление дно
Объявление дно
Объявление дно

БЕЗ КОММЕНТАРИЕВ