ITT:Build Finance攻击事件分析-ODAILY_Attrace

0x01:前言

风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

0x02:事件详情

攻击者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

Bittrex Global吸引与美SEC和解后对美国监管不确定性保持警惕的市场参与者:金色财经报道,Bittrex Global与美国证券交易委员会达成和解后,旨在吸引对美国监管不确定性持谨慎态度的市场参与者。今年4月,监管机构对该公司及其美国分支机构采取了执法行动,理由是该公司涉嫌以未注册交易所的形式运营。Bittrex上周四与美国证券交易委员会达成和解。

周三,Bittrex Global首席执行官Oliver Linch向那些“鉴于监管不确定性,对与美国建立任何联系越来越谨慎的人”保证,如果他们想与非美国监管的数字资产交易所开展业务,Bittrex Global就在这里。[2023/8/16 21:27:50]

else{proposal

对冲基金Outremont Technologies推出第二只加密货币基金:金色财经报道,在机构投资者稳定需求的支持下,一家由长期从事对冲基金的专业人士经营的量化加密对冲基金初创公司正在筹集其第二只基金。据两位知情人士透露,Ian Tousignant的Outremont Technologies上个月开始交易其第二只基金,因为其最新的风险投资以及该公司的初创公司的筹款活动仍在继续。它的最新产品采用了智能贝塔策略。该公司的旗舰产品于1月推出,采用了一种自动化的量化策略,专注于波动性交易,与Tousignant和他的交易员从市场高峰和低谷中赚钱的策略一致。Outremont上个月管理着大约4000万美元的资产。其大约12人的团队表明,它预计会有大量资金流入。[2022/4/14 14:23:31]

receipt

数据:4亿枚USDT从Tether Treasury转入FTX:12月25日消息,Whale Alert数据显示,北京时间12月25日16:57:03,4亿枚USDT从Tether Treasury转入FTX。[2021/12/25 8:03:19]

该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:

而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:

最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。

0x03:总结

经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-5:682ms