DAO還安全嗎？Build Finance遭遇惡意治理接管 被洗劫一空_ANC

今天2月15日，先祝大家元宵節快樂！團團圓圓每一天！

而在今天凌晨時分，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，風投DAO組織Build Finance項目遭遇治理攻擊。關于本次攻擊，成都鏈安技術團隊第一時間進行了分析。

據悉，Build Finance 是一個自我描述為“去中心化風險建設者”，其目標是通過獎勵代幣來激勵新項目。這個想法是用其原生 BUILD 代幣為項目提供資金，作為回報，這些項目將采用 BUILD 代幣來增加對它們的需求。此外，該項目由 DAO 維護，也就是由一個去中心化組織參與治理。

但是，黑客卻悄悄搞起事情，該項目遭遇攻擊者惡意治理接管，黑客通過獲得足夠多的投票成功控制 Build 代幣合約，在三筆交易中鑄造了超過10億的BUILD 代幣，并耗盡了 Balancer 和 Uniswap 流動性池中的大部分資金。事發后，該項目團隊在推特建議用戶不要在任何平臺上購買 BUILD 代幣，項目團隊成員試圖與攻擊者進行直接對話，但對方似乎沒有興趣對話。

以色列風投公司Pitango旗下基金創建投資DAO，并計劃發行代幣:金色財經消息，以色列最大風投公司Pitango推出了一個去中心化自治組織（DAO），以投資Web3項目。

據悉，Pitango的基金名為“Pitango First”，已推出First Labs，且創建了一個名為“First DAO”的去中心化自治組織。

“我們正在打破傳統的風險投資模式，并將發行代幣，”Pitango的First Labs負責人Aviv Barzilay在接受采訪表示。但Barzilay拒絕透露代幣發行的時間、Tokenomics的細節以及DAO推出的投資金額。

據了解，Pitango管理著約30億美元的資產。（The Block）[2022/6/7 4:09:09]

看來項目方又遇到了一位“任性”的黑客。下面，跟著我們來看一下事件具體分析過程。

Round 1

通過對項目的交易追蹤，我們發現2022年2月12日Build Finance?項目被攻擊者竊取了治理權限，接著向0xdcc8A38A地址分三次鑄造了超過10億的BUILD代幣。

HECO鏈去中心化穩定幣HaykerDAO 24小時清算量176萬美金:因行情波動劇烈，HECO鏈去中心化穩定幣HaykerDAO發生大量清倉，據官方數據顯示，HaykerDAO 24小時清算量超11萬HT，價值170萬美金。[2021/5/25 22:41:33]

然后0xdcc8A38A地址將這10億代幣通過Uniswap V2: BUILD兌換將項目方的交易池掏空。

LABS Group宣布MANTRA DAO質押池將推遲至明天:房地產數字生態系統LABS Group發推稱，由于一些不可預見的技術故障，MANTRA DAO質押池將推遲到明天。[2021/3/15 18:46:34]

觀察交易細節后，我們發現調用Build 代幣合約mint函數鑄幣的地址也為0xdcc8A38A。

接著往下看，我們觀察下圖項目方的合約代碼發現調用mint函數的地址只能為governance地址。此時鑄幣的地址為0xdcc8A38A，也就是說合約現在的governance權限已經被0xdcc8A38A地址獲取了。

從代碼中可以看到原本的governance權限屬于合約的創建者即下圖的0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172地址。

Curve發起執行提案將社區基金授予Grant Council DAO多簽名地址:12月4日，穩定幣兌換平臺Curve官方宣布，社區已發起執行提案，計劃開始將社區基金歸屬到Grant Council DAO多簽名地址中。根據提案內容，此前Curve Finance建議開始將社區基金用于生態系統、DAO和社區贈款，以鼓勵社區分權。至此，Curve社區已成立一個有團隊成員（6位）和社區成員（4位）共同組成的理事會對捐款資金進行審查。此外，官方提到，Andre Cronje是理事會的成員，將幫助審核資助申請。[2020/12/4 13:59:09]

我們不禁要問，那么governance權限是如何轉移到0xdcc8A38A上的呢？

Round 2

動態 | MakerDAO提交三項投票提案 擬再次提高DAI穩定費:MakerDAO在其最新博客中稱，Maker基金會臨時風險小組將向投票系統提交三份治理投票（Governance Poll）提案，分別將Dai的穩定費提高0%、2%和4%。治理投票將從UTC時間3月18日下午6點開始，為期3天，投票結果將于UTC時間3月22日下午5點公布，同時開啟執行投票（Executive Vote）。據此前消息，MakerDAO關于提高穩定費至3.5%的治理投票已經通過。[2019/3/19]

通過排查，我們通過2020年9月4日的一筆交易發現了線索，攻擊者只有通過setGovernance函數才能竊取governance的權限。那么在這期間合約創建者0x2Cb037BD一定使用了setGovernance函數進行了權限轉移。

通過查找0x2Cb037BD地址的交易記錄可見，在同一天創建者使用了setGovernance函數。交易hash為0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過查找內部的Storage可見權限轉移給了0x38bce4b45f3d0d138927ab221560dac926999ba6地址而不是上述的0xdcc8A38A攻擊地址。交易哈希為：0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通過繼續跟進0x38bce4b地址，發現是一個Timelock合約，而合約中可以調用build 代幣合約函數的setGovernance函數只有executeTransaction函數。

我們跟進executeTransaction函數找到了其中的Storage。

從上圖可見0x38bce4b45f3d0d138927ab221560dac926999ba6地址將權限又轉移到了0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址，交易哈希為0x9a0c9d5d3da1019edf234d79af072c1a6acc93d21daebae4ced97ce5e41b2573，調用時間為2021年1月25日。

通過繼續跟進0x5a6ebeb6地址，在下圖可知在2022年2月9日由suho.eth發起的提案，0xdcc8A38A攻擊地址在2022年2月11日投票通過。在4天前將governance權限變更為0xdcc8A38A。

suho.eth發起的提案變更governance，投票設置的閾值較低導致提案通過，通過call調用將build合約的governance更改為0xdcc8A38A地址。

0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址部分代碼。

此地址獲取governance權限后，0xdcc8A38A地址通過build 代幣合約的mint函數向本身鑄造了大約10億的build代幣，隨后去交易池掏空流動性。

獲取權限的流程圖為：

攻擊者利用類似的手法，從另外一個治理合約中轉走了該治理合約所持有的代幣資產。本次獲利共162個ETH、20014個USDC 481405個DAI、75719個NCR約為112萬美元。

最后，成都鏈安提醒：DAO合約應該設置合適的投票閾值，實現真正的去中心化治理，避免很少的投票數量就使得提案通過并成功執行，建議可以參考openzeppelin官方提供的治理合約的實現。

Tags：ANCNCENANDAOPinkslip FinanceYmen.FinanceETET FinanceBend DAO

MEXC