DAO組織BuildFinance在社交媒體發文表示,該項目遭遇惡意治理攻擊,攻擊者惡意鑄造了110萬枚BUILD并拋售套利。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。
該合約線上提案投票地址?https://snapshot
functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState
Polygon BUIDLIT Summer 2022黑客松公布獲勝名單:9月16日消息,Polygon BUIDLIT Summer 2022黑客松公布獲勝項目名單,社交媒體平臺Cratch、卡牌游戲Toshimon、Web3游戲共創平臺FindTruman獲得黑客松前三名。
此外,DeFi類別前三名為DeFi for People、Nomis和Fixel。NFT類別前三名為Slise、Rakugaki和Decent Poems。游戲類別前三名為War Alpha Metaverse V2、Mothora和Cozyverse。工具和基礎設施類別前三名為Toolblox、Finity-UI和Universal Adapter Protocol。[2022/9/16 7:00:40]
else{proposal
Build Finance遭遇治理攻擊,110萬枚代幣通過投票被惡意增發并拋售:2月15日消息,風投DAO組織Build Finance在推特表示,該項目遭遇惡意治理接管,惡意行為者通過獲得足夠多的投票成功了控制 Build 代幣合約,進而鑄造了 110萬 BUILD代幣并耗盡了項目的流動資金池,此外還將DAO金庫中的 13 萬 METRIC 代幣全部拋售。該項目團隊成員與攻擊者進行了直接接觸,但對方似乎沒有興趣進行對話。[2022/2/15 9:51:58]
receipt
BKEX Global將于今日16:30上線BUIDL:據BKEX Global公告,BKEX Global將于2020年8月9日16:30(UTC+8)上線BUIDL(DFOhub),開放交易對:BUIDL/USDT。
Buidl是DFOhub的治理代幣。DFOhub,首個基于DFO協議的獨立的去中心化組織。通過BUIDL, Token持有者擁有協議及其資產的所有權。DFOhub是一個基于以太坊的開發項目,它為去中心化彈性組織(Decentralized Felixable Orgnizations)、擁有專有資產的鏈上公司及作為可編程股權的投票Token提供了一個框架。[2020/8/9]
該函數方法允許任何擁有一定數量資產的用戶發起提案,持有該資產的其他用戶進行投票,函數代碼未發現安全問題,因此我們推測攻擊者可能是通過合約發起的提案。在提案通過后,攻擊者鑄造了100萬個BUILD代幣,耗盡大部分Balancer和Uniswap流動性池的資金:
隨后又通過治理合約控制平衡池,耗盡包括13萬METRIC代幣在內的其他數字資產:
最后喪心病狂的鑄造了一億個Build,出售給任何還存在流動性的池子:
目前還未確定攻擊者發起通過的提案內容,但根據通過提案后的鑄幣行為,跟進到代幣合約0x6e36556b3ee5aa28def2a8ec3dae30ec2b208739:
addresspublicgovernance;constructor()publicERC20Detailed("BUILDFinance","BUILD",18){governance=msg
functionmint(addressaccount,uintamount)public{require(msg
functionsetGovernance(address_governance)public{require(msg
合約在初始化的時候會設置合約擁有者為治理者,并且只有治理者可以發起鑄幣請求,而只有治理者才能調用setGovernance函數更換治理者,因此可以確定,攻擊者發起的具體提案為更換治理者。
在創建合約的時候,治理者為0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172,也就是合約部署者,他在部署合約后將治理者更換為TimeLock合約0x38bce4b45f3d0d138927ab221560dac926999ba6:
而在2021年1月,TimeLock合約將治理權交給了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:
最后在2022年2月,由Suho.eth發起提案,利用低投票閾值將治理者更換為0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,惡意接管后鑄幣套現。
0x03:總結
經過完整分析,知道創宇區塊鏈安全實驗室?明確了該次事件的源頭由攻擊者創造低閾值提案,讓自己惡意接管了治理權限,去中心化的治理實現是很有必要的,但不應該讓攻擊者可以利用少量投票就通過提案。
Tags:BUILDANCNCENANBUILD幣APY.FinanceHibiki FinanceAnnex Finance
尊敬的用戶:?? 由于ETP專區部分標的觸發了BKEXETP產品份額合并機制。BKEX將在2022年2月22日15:00對ETP專區部分標的進行合并操作,詳情如下:合并后新份額的名稱、簡稱、交易.
1900/1/1 0:00:00Gate.ioiscurrentlyholdinga"ATSNetBuy"competition.Wehaveapoolof$17.
1900/1/1 0:00:00活動時間:2022年02月22日08:00至2022年03月01日07:59 小提示:點擊 活動專頁按鈕,才能獲得獎勵資格!活動一:新用戶專享獎池,分享10.
1900/1/1 0:00:00據BeinCrypto2月20日消息,一個名為BuyTheBroncosDAO的去中心化組織正在尋求籌集超過40億美元來收購美國國家橄欖球聯盟丹佛野馬隊.
1900/1/1 0:00:00尊敬的歐易用戶: 歐易賺幣將于2022年02月23日11:00(HKT)正式上線ONE鎖倉賺幣服務,您可以一鍵質押ONE參與鎖倉獲得收益.
1900/1/1 0:00:00尊敬的AAX用戶: 為了回饋大家對猜漲跌的支持,AAX現在開啟”第二期猜漲跌,五連勝贏取30USDT”活動,最低1USDT投注,使用AAB下單結算收益加成5%.
1900/1/1 0:00:00