Pirateado: la empresa de seguridad Blockchain SlowMist comparte el análisis de un exploit reciente de DAO Maker - Crowdfund Insider

ad-midbar
ad-midbar
ad-midbar
ad-midbar

slowmist, que se centra en la seguridad del ecosistema blockchain y, según se informa, ha prestado servicios a Huobi, OKEx, Binance, imToken (casi "mil clientes comerciales en total"), revela que Fabricante de DAOEl sistema de vesting fue pirateado recientemente.

SlowMist confirmó en un informe de incidente que DeRace Token (DERC), Coinspaid (CPD), Capsule Coin (CAPS), Showcase Token (SHO) "todos usan el sistema de adquisición de derechos de Dao Maker, y el contrato de adquisición de DAO Maker es atacado cuando se emite el titular (DERC) en DAO Maker, es decir, existe una vulnerabilidad en el sistema de adquisición de derechos de los participantes del contrato de adquisición de derechos de DERC: la inicialización de la inicialización no estaba autenticada, el atacante inicializó los parámetros clave de init y cambió el propietario al mismo tiempo, y luego robó el token a través de salida de emergencia y cámbielo a DAI ".

Como señaló SlowMist, el atacante "finalmente obtuvo una ganancia de casi $ 4 millones".

La firma de seguridad blockchain también mencionó que los piratas informáticos "aprovecharon la vulnerabilidad en el contrato de adjudicación para salir de emergencia de los tokens en el contrato de adjudicación".

Como se menciona en un informe elaborado por SlowMist, el siguiente es un breve análisis:

  • Implementación del contrato de adjudicación contrato 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 "decompilado" obtenga la siguiente información:
    • La función init en el contrato de adquisición de derechos (firma de la función: 0x84304ad7) "no autentica a la persona que llama, y ​​el pirata informático se convierte en el propietario del contrato de adquisición de derechos al llamar a la función init".
    • El propietario puede "llamar a la función de salida de emergencia en el contrato de adquisición de derechos para realizar retiros de emergencia".

Dirección del contrato relacionado:

Tome DERC como ejemplo:

Contrato de agencia de derechos adquiridos:
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Contrato de ejecución de derechos adquiridos:
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

Dirección del hacker:
0x2708cace7b42302af26f1ab896111d87faeff92f

Como señaló SlowMist:

“De la misma forma atacó otros contratos de adjudicación, transfiriendo los siguientes tokens”:

DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f

DAO Maker, que afirma ser "el líder en tecnología de gobernanza, financiación basada en datos y productos institucionales en cadena", señaló el 3 de septiembre de 2021 que, ante todo, "solo los tokens de venta pública adquiridos de (1) DeRace (2 ) Showcase (3) Ternoa (4) Coinspaid se vieron afectados ".

Otros tokens criptográficos no se vieron afectados, confirmó el equipo de DAO Maker. También mencionaron que su portal de reclamos está "auditado por tres empresas".

Como se menciona en una actualización, con fecha del 3 de septiembre:

“Hoy, los contratos que tenían un portal de reclamos con un 0% de quema experimentaron un exploit. Los tokens otorgados a los participantes de SHO fueron robados. Los tokens y los contratos inteligentes de todos los proyectos afectados son seguros. El exploit tuvo lugar en 4 de nuestros portales de reclamaciones ".

La actualización de DAO Maker señaló además:

“Nuestros próximos pasos: a corto plazo, como parte de la evaluación de la situación, cesaremos todas las operaciones de contratos inteligentes que impliquen la custodia de los clientes y los activos del cliente. Vamos a operar de manera similar a Polkastarter y la mayoría de las otras plataformas de lanzamiento…. Solo ofreceremos el lanzamiento del token, y no ninguna forma de participación, portal o puente. Esto elimina la probabilidad de que ese evento vuelva a suceder. Nuestra prioridad es tanto nuestra comunidad como nuestros proyectos de ecosistemas. Damos este paso en su mejor interés. Solo se lanza ".

Añadieron:

“Estamos en el proceso de adquirir tokens en el mercado para (1) asegurar que los participantes de SHO obtengan tokens en lanzamientos futuros y (2) apoyar los proyectos que se vieron afectados hoy. Un resultado secundario de nuestra compra en curso para reponer los lanzamientos SHO pendientes de los tokens afectados es que sus precios se han recuperado en su mayoría al nivel previo al pirateo ".

Concluyeron:

“Finalmente y sobre todo:

  • los proyectos afectados siguen siendo fundamentalmente tan fuertes como antes
  • no había exploit en sus tokens o contratos
  • los tokens lanzados no fueron acuñados, sino tokens de venta pública (que habrían ingresado al mercado en una fecha posterior independientemente) "

Fuente de noticias

ad-bottom
ad-bottom
ad-bottom
ad-bottom

SIN COMENTARIOS