链捕手消息,据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。
黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:
1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
相关合约地址:
Vesting代理合约:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167
Vesting实现合约:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2
黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。