鏈聞消息,據慢霧區情報,DAO Maker 的 Vesting 合約遭到黑客攻擊。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分發系統,在 DAO Maker 中進行持有者發行(SHO)時因 DAO Maker 合約被攻擊,即 SHO 參與者的分發系統中出現了一個漏洞:init 未初始化保護,攻擊者初始化了 init 的關鍵參數,同時變更了 owner,然後通過 emergencyExit 將目標代幣盜走,並兌換成了 DAI,攻擊者最終獲利近 400 萬美元。
黑客利用 Vesting 合約中的漏洞,將 Vesting 合約中的代幣提走,如下是簡要分析:
對 Vesting 合約的實現合約 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 進行反編譯得到如下信息:
- Vesting 合約中的 init 函數 (函數簽名:0x84304ad7),沒有對調用者進行鑑權,黑客通過執行 init 函數成爲 Vesting 合約的 Owner。
- Owner 可以執行 Vesting 合約中的 emergencyExit 函數,進行緊急提款。
繁體中文
简体中文
English
日本語
Español