Hackerato: la società di sicurezza Blockchain SlowMist condivide l'analisi del recente exploit di DAO Maker – Crowdfund Insider

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

slowmist, che si concentra sulla sicurezza dell'ecosistema blockchain e secondo quanto riferito ha servito Huobi, OKEx, Binance, imToken (quasi "un migliaio di clienti commerciali in totale"), rivela che Coltello MakerIl sistema di vesting di è stato recentemente violato.

SlowMist ha confermato in un rapporto sull'incidente che DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) “utilizzano tutti il ​​sistema di vesting di Dao Maker e il contratto di vesting di DAO Maker viene attaccato quando viene emesso il titolare (DERC) in DAO Maker , ovvero c'è una vulnerabilità nel sistema di vesting dei partecipanti al contratto di vesting DERC: Init Initialization non è stato autenticato, l'attaccante ha inizializzato i parametri chiave di init e ha cambiato il proprietario allo stesso tempo, quindi ha rubato il token tramite emergenzaExit e scambiarlo in DAI.

Come notato da SlowMist, l'attaccante "finalmente ha realizzato un profitto di quasi 4 milioni di dollari".

La società di sicurezza blockchain ha anche affermato che gli hacker "hanno approfittato della vulnerabilità nel contratto di maturazione per uscire di emergenza dai token nel contratto di maturazione".

Come menzionato in un rapporto preparato da SlowMist, quella che segue è una breve analisi:

  • Attuazione del contratto di vesting 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 “decompilato” ottenere le seguenti informazioni:
    • La funzione init nel contratto di maturazione (firma della funzione: 0x84304ad7) "non autentica il chiamante e l'hacker diventa il proprietario del contratto di maturazione chiamando la funzione di init".
    • Il Proprietario può "chiamare la funzione EmergencyExit nel contratto di vesting per effettuare prelievi di emergenza".

Indirizzo del contratto correlato:

Prendi DERC come esempio:

Contratto di agenzia di vesting:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Contratto di attuazione della maturazione:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Indirizzo dell'hacker:
0x2708cace7b42302af26f1ab896111d87faeff92f

Come notato da SlowMist:

“Allo stesso modo ha attaccato altri contratti di vesting, trasferendo i seguenti token”:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, che afferma di essere "il leader nella tecnologia di governance, nei finanziamenti supportati dai dati e nei prodotti onchain istituzionali", ha osservato il 3 settembre 2021 che prima di tutto "solo i token di vendita pubblica acquisiti di (1) DeRace (2 ) Vetrina (3) Ternoa (4) Coinspaid sono stati interessati.”

Altri token crittografici non sono stati interessati, ha confermato il team di DAO Maker. Hanno anche detto che il loro portale di reclami è "verificato da tre società".

Come menzionato in un aggiornamento, datato 3 settembre:

“Oggi, i contratti che avevano un portale di reclami con un burn dello 0% hanno subito un exploit. I token assegnati ai partecipanti SHO sono stati rubati. I token e gli smart contract di tutti i progetti interessati sono al sicuro. L'exploit è avvenuto in 4 dei nostri portali di sinistri".

L'aggiornamento di DAO Maker ha inoltre osservato:

“I nostri prossimi passi: a breve termine, come parte della valutazione della situazione, stiamo cessando tutte le operazioni di smart contract che comportano la custodia dei beni dei clienti e dei clienti. Opereremo in modo simile a Polkastarter e alla maggior parte degli altri launchpad... Offriremo solo il lancio del token e non qualsiasi forma di staking, portale o bridge. Ciò elimina la probabilità che un tale evento si ripeta. La nostra priorità sono sia la nostra comunità che i nostri progetti ecosistemici. Facciamo questo passo nel loro interesse. Solo lanci.”

Hanno aggiunto:

“Siamo in procinto di acquisire token sul mercato per (1) garantire che i partecipanti SHO ottengano token nelle versioni future e (2) supportare i progetti che sono stati interessati oggi. Un risultato collaterale dei nostri acquisti in corso per ricostituire le versioni SHO in sospeso dei token interessati è che i loro prezzi sono tornati per lo più al livello pre-hack.

Hanno concluso:

“Finalmente e soprattutto:

  • i progetti interessati rimangono fondamentalmente forti come prima
  • non c'era alcun exploit nei loro token o contratti
  • i token rilasciati non sono stati coniati, ma token di vendita pubblica (che sarebbero entrati nel mercato in un secondo momento a prescindere)”

Fonte di notizie

ad-bottom
ad-bottom
ad-bottom
ad-bottom

NON CI SONO COMMENTI