Hacked: Blockchain Security Firm SlowMist compartilha análise da exploração recente do DAO Maker - Crowdfund Insider

ad-midbar
ad-midbar
ad-midbar
ad-midbar

slowmist, que se concentra na segurança do ecossistema de blockchain e supostamente atendeu Huobi, OKEx, Binance, imToken (quase "mil clientes comerciais no total"), revela que Fabricante de facaso sistema de aquisição de direitos foi hackeado recentemente.

SlowMist confirmou em um relatório de incidente que DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) “todos usam o sistema de aquisição de Dao Maker, e o contrato de aquisição DAO Maker é atacado quando o titular é emitido (DERC) no DAO Maker, ou seja, há uma vulnerabilidade no sistema de aquisição de participantes do contrato de aquisição de DERC: A inicialização inicial não foi autenticada, o invasor inicializou os parâmetros-chave do init e alterou o proprietário ao mesmo tempo e, em seguida, roubou o token através de EmergencyExit e troque para DAI. ”

Conforme observado pelo SlowMist, o invasor “finalmente obteve um lucro de quase US $ 4 milhões”.

A empresa de segurança do blockchain também mencionou que os hackers “aproveitaram a vulnerabilidade no contrato de aquisição para retirar de emergência os tokens no contrato de aquisição”.

Conforme mencionado em um relatório preparado pela SlowMist, o seguinte é uma breve análise:

  • Implementação do contrato de aquisição de direitos 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 “descompilado” obtenha as seguintes informações:
    • A função init no contrato de aquisição (assinatura de função: 0x84304ad7) “não autentica o chamador, e o hacker se torna o proprietário do contrato de aquisição ao chamar a função init.”
    • O proprietário pode "chamar a função de saída de emergência no contrato de aquisição para fazer retiradas de emergência."

Endereço de contrato relacionado:

Tome o DERC como exemplo:

Contrato de agência de aquisição:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Contrato de implementação de aquisição:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Endereço do hacker:
0x2708cace7b42302af26f1ab896111d87faeff92f

Conforme observado por SlowMist:

“Da mesma forma, atacou outros contratos de aquisição de direitos, transferindo os seguintes tokens”:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, que afirma ser "o líder em tecnologia de governança, financiamento com suporte de dados e produtos institucionais onchain", observou em 3 de setembro de 2021 que, em primeiro lugar, "apenas os tokens de venda pública adquiridos de (1) DeRace (2 ) Mostruário (3) Ternoa (4) Coinspaid foram afetados. ”

Outros crypto tokens não foram afetados, a equipe DAO Maker confirmou. Eles também mencionaram que seu portal de reclamações é “auditado por três empresas”.

Conforme mencionado em uma atualização, datada de 3 de setembro:

“Hoje, os contratos que tinham portal de reclamações com 0% de queima sofreram exploit. Os tokens adquiridos para os participantes do SHO foram roubados. Os tokens e contratos inteligentes de todos os projetos afetados estão protegidos. A exploração ocorreu em 4 de nossos portais de reivindicação. ”

A atualização do DAO Maker observou ainda:

“Nossos próximos passos: No curto prazo, como parte da triagem da situação, estamos encerrando todas as operações de contrato inteligente que envolvem a custódia de clientes e ativos de clientes. Vamos operar de forma semelhante ao Polkastarter e à maioria dos outros launchpads…. Oferecemos apenas o lançamento de token, e não qualquer forma de piquetagem, portal ou ponte. Isso remove a probabilidade de qualquer evento acontecer novamente. Nossa prioridade é tanto nossa comunidade quanto nossos projetos de ecossistema. Damos esse passo no melhor interesse deles. Apenas lança. ”

Eles acrescentaram:

“Estamos em processo de aquisição de tokens no mercado para (1) garantir que os participantes do SHO recebam tokens em lançamentos futuros e (2) apoiar os projetos que foram afetados hoje. Um resultado colateral de nossa compra contínua para repor os lançamentos SHO pendentes de tokens afetados é que seus preços se recuperaram principalmente ao nível pré-hack. ”

Eles concluíram:

“Finalmente e acima de tudo:

  • os projetos afetados permanecem fundamentalmente tão fortes quanto antes
  • não houve exploit em seu token ou contratos
  • os tokens liberados não foram cunhados, mas sim tokens de venda pública (que teriam entrado no mercado em uma data posterior, independentemente) ”

Fonte de notícias

fundo do anúncio
fundo do anúncio
fundo do anúncio
fundo do anúncio

SEM COMENTÁRIOS