DAO Maker 被黑:攻击者获利 400 万美元
据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC)、Coinspaid(CPD)、CapsuleCoin(CAPS)、ShowcaseToken(SHO)都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行(SHO)时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美元。黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。
2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
原创文章,作者:扑克(CoinBaxa),如若转载,请注明出处:https://www.kaixuan.pro/news/6327/