快訊

DAO Maker的Vesting合約遭到駭客攻擊，攻擊者最終獲利近400萬美金

金色財經 2021-09-04 11:30

據慢霧區情報，DAO Maker的Vesting合約遭到駭客攻擊。DeRace Token (DERC)，Coinspaid (CPD)，Capsule Coin (CAPS)，Showcase Token (SHO)都使用了Dao Maker的分發系統，在DAO Maker中進行持有者發行（SHO）時因DAO Maker合約被攻擊，即SHO參與者的分發系統中出現了一個漏洞：init未初始化保護，攻擊者初始化了init的關鍵參數，同時變更了owner，然後通過emergencyExit將目標代幣盜走，並兌換成了DAI，攻擊者最終獲利近400萬美金。駭客利用Vesting合約中的漏洞，將Vesting合約中的代幣提走，如下是簡要分析：對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下資訊： 1. Vesting合約中的init函數 (函數簽名：0x84304ad7)，沒有對調用者進行鑒權，駭客通過執行init函數成為Vesting合約的Owner。 2. Owner可以執行Vesting合約中的emergencyExit函數，進行緊急提款。利用同樣的手法其攻擊其他Vesting合約，轉移如下代幣：DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

買幣要選交易所！優惠盡在鉅亨買幣
掌握全球財經資訊點我下載APP

‌