權限攻擊：DAO Maker被黑事件分析_DAO

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。北京時間8月12日，DAOMaker遭到黑客攻擊，大量用戶充值的USDC被轉出并換成約2261個以太坊，損失超過700萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。一、事件分析通過查看攻擊者交易情況發現攻擊者共發動了18次攻擊對5252名用戶攻擊。

推特用戶：鏈上期權協議Hegic疑似存在管理員權限過大問題:推特用戶Karim Helmy表示，鏈上期權協議Hegic似乎過于中心化，合約可以被所有者操縱隱含波動率。簡單說合約所有者可以設置不合理的隱含波動率參數，將資金池里的全部資金耗盡。據DeBank數據顯示，Hegic目前有5200萬美金鎖倉量。[2020/11/20 21:27:45]

DAOMakerExploiter1：0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2：0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻擊合約XXX：0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker錢包地址：0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址：0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理員地址：0x0eba461d9829c4e464a68d4857350476cfb6f559我們以其中的一次攻擊進行分析，其他的都是一樣的攻擊方式。

火幣：冷錢包采用多重、門限簽名技術，不依賴某一個人的權限與操作:關于近期行業動態引發的對平臺錢包核心機制的關注及問詢，火幣相關負責人回應金色財經：火幣冷錢包使用了多重簽名和門限簽名技術保障私鑰簽名過程的安全性，多人、多地備份保障私鑰的可用性，自主研發的安全硬件保障存儲的健壯性。同時通過嚴格的規范要求、流程標準以及最小權限、多人背靠背隔離操作等機制保障各個操作環節的安全，并在技術和流程上均實現了不依賴某一個人的權限與操作行為，敬請各界放心使用。感謝廣大用戶的關注與支持。[2020/10/16]

SushiSwap已將管理權限交由Timelock合約:8月27日，SushiSwap在推特表示，已將管理權限交由時間鎖定（timelock）合約，來自開發人員的管理員功能調用將有48小時延遲。

據此前報道，Coinbase軟件工程師Daniel Que發推稱，SushiSwap存在后門，項目方能盜取資金，使用者請小心風險。這可以通過將所有權轉移到時間鎖定（timelock）合約來緩解，以強制執行博客文章中提到的100000個塊（約2周）遷移延遲。現在還沒有強制執行它的代碼。SushiSwap創建者已承認并表示將遷移到時間鎖定合約。[2020/8/27]

通過交易記錄發現，DAOMakerExploiter1使用攻擊合約XXX的h()函數發起交易，將350名用戶的USDC通過錢包地址轉給攻擊合約XXX后轉給DAOMakerExploiter1，這350名受害者地址以數組的形式傳入交易的inputdata。

公告 | 火幣全球站新增 API Key 權限管理功能:據火幣官方公告，火幣全球站新增 API Key 權限管理功能。變更內容如下：

1、當用戶創建一個新的 API Key 時， 用戶可以為每個 API Key 分配一個或多個權限;

2、有三種權限供用戶選擇:只讀、交易和提幣；

3、只有在火幣官方 API 文檔中提供的驗簽接口才能用 API Key 調用；

4、現有的 API Key 會默認擁有所有的權限，用戶可以通過 API 管理頁面對現有的 API Key 進行設置。[2019/6/6]

對受害者合約的0x50b158e4(withdrawFromUser)函數反編譯結果如下：

可以看到只有msg.sender即：攻擊合約XXX擁有權限方可轉賬成功。查看歷史交易可以發現：122天前合約部署人給現任管理員授權；

而后，一天前現任管理員創建攻擊合約XXX。

現任管理員給攻擊合約XXX授權。

隨后DAOMakerExploiter1調用攻擊合約XXX發起攻擊獲得大量USDC，將其轉換為ETH后轉賬給DAOMakerExploiter2。可以確定至少在一天之前DAOMakerExploiter1和現任管理員是同一個人在操作！！！攻擊者獲得現任管理員的控制權；?管理員創建了攻擊合約XXX并對其授權；DAOMakerExploiter1調用攻擊合約XXX獲利。因此，本次攻擊原因很可能是現任管理員密鑰被盜取，SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術，避免單點攻擊風險。二、安全建議SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：DAOMAKEOMAMakerPEPEDAOmaker幣行情PolkaDomainWhale Maker Fund

MATIC