DAO MAKER - 翻车



DAO Maker遇到了他们的Maker。

又一次。

不到一个月前,他们损失了700万美元

现在他们又损失了400万美元。

我们没有报道第一次攻击,但如果你重复翻车,那么我们就得说道说道。

来源: Mudit Gupta

DAOMaker的init()函数存在漏洞,使攻击者能够用恶意数据重新初始化4个代币合约。然后,用emergencyExit()函数来提取每个合约的资金。

这四个合约和提款交易列在下面:

0x6e70c88be1d5c2a4c0c8205764d01abe6a3d2e22 - emergencyExit 1350万CAPS

0xd6c8dd834abeeefa7a663c1265ce840ca457b1ec - emergencyExit 250万CPD, 两次

0xdd571023d95ff6ce5716bf112ccb752e86212167 - emergencyExit 144万DERC

0xa43b89d5e7951d410585360f6808133e8b919289 - emergencyExit 大约2060万SHO

在攻击和交易之后,攻击者又对另外两个合约进行了init()调用。

然而,这两个合约已经被一个新的地址调用,其交易历史显示了一系列init()-emergencyExit() 调用,提取了数百万的SHO,以及ALPHR和LSS。

这个地址的最后四笔交易显示提取的代币被退回,然后是所有权转移;也许是一些迟来的白帽行为,或者是开发者试图拯救剩下的代币。

攻击者随后出售每个代币:

Ternoa: 在1inch用1350万CAPS换了378,189个DAI

Coinspaid: 在1inch用500万CPD换了158,216个DAI

DeRace: 在1inch用144万DERC换了997,833个DAI

Showcase: 通过MetaMask Swap Router,用2060万SHO换了67,663个DAI

价格影响(在撰写本文时)。

Ternoa CAPS 跌了-45%,现在是-11%。

CoinsPaid CPD 跌了-60%,现在为-25%。

DeRace DERC 最初跌了-75%,现在约为-25%。

Showcase SHO 跌了约-75%

所有涉及的代币的价格在漏洞发生后都有一定程度的恢复,尽管没有DAO Maker声称的那么多。

DAO Maker的源代码是不公开的。是暴露在外人面前,还是存在了一个不应该被信任的内部人?

一个DAO Maker的开发者被他们自己的协议现场打脸。

正如Gupta先生在推特上所说的;

DaoMaker声称他们有3家公司的审计,但查看learn.daomaker.com/audits,其中2个审计似乎是针对不相关的合约,而第三个来自@certik_io的审计则指向一个无效链接。

我们等待Certik的澄清。

即使所有三个审计都是真实的和相关的,任何被黑的协议都不应该试图把责任推给他们的审计人员。

良好的安全保护必须来自于团队,而不是外包给审计公司。

每个步骤都必须是完美的。

雇用、协议设计、代码审查、测试、模糊处理、形式化验证、bug赏金计划、处理事故,相关环节不胜枚举。

但也许对DAO Maker来说已经太晚了,他们只能做dao和修补。


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。