Build Finance攻擊事件分析-ODAILY_BAS

0x01：前言

風投DAO組織BuildFinance在社交媒體發文表示，該項目遭遇惡意治理攻擊，攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

0x02：事件詳情

攻擊者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

Base針對合約開發者推出Base Builder Quest:金色財經報道，Coinbase以太坊Layer2網絡Base針對智能合約開發者推出Base Builder Quest，允許開發者在Base上部署智能合約來完成任務，成為早期的Base構建者。Base還將為完成任務的開發者分發由andreoshea.eth設計的紀念NFT，在過渡到Base主網后，開發者還將有資格鑄造第二個紀念NFT。[2023/4/7 13:49:45]

else{proposal

帶有“金V”認證的推特賬戶@BuilldOnBase系虛假賬戶:金色財經報道，據PeckShieldAlert，帶有“金V”認證的推特賬戶@BuilldOnBase系虛假賬戶，并非Base官方推特賬戶（@BuildOnBase）。

此外，base[.]web3claiming[.]com系釣魚網站，Fake_Phishing38689在6天前創建了“Claimer”合約。請用戶防范風險。[2023/3/6 12:44:58]

receipt

動態 | 日本BUIDL公司成為數字證券平臺Securitize全資子公司:據Crypto.Watch消息，日本BUIDL公司12月6日宣布，已與美國數字證券平臺Securitize建立了全面的資本聯盟。BUIDL將成為Securitize的全資子公司，并將繼續在日本發展區塊鏈業務咨詢和商業化。BUIDL還宣布將擴大其在日本的數字證券業務。[2019/12/6]

該函數方法允許任何擁有一定數量資產的用戶發起提案，持有該資產的其他用戶進行投票，函數代碼未發現安全問題，因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后，攻擊者鑄造了100萬個BUILD代幣，耗盡大部分Balancer和Uniswap流動性池的資金：

而在2021年1月，TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583：

最后在2022年2月，由Suho.eth發起提案，利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28，惡意接管后鑄幣套現。

0x03：總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由攻擊者創造低閾值提案，讓自己惡意接管了治理權限，去中心化的治理實現是很有必要的，但不應該讓攻擊者可以利用少量投票就通過提案。

Tags：BASBASEBUILDOSAMintbasecoinbase什么意思BuildUPExosama Network

火幣網下載官方app