Build Finance攻击事件分析-ODAILY_PROP:Exosama Network

0x01:前言

风投DAO组织BuildFinance在社交媒体发文表示,该项目遭遇恶意治理攻击,攻击者恶意铸造了110万枚BUILD并抛售套利。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

0x02:事件详情

攻击者Suho

functionvote(uint_proposalId,bool_support)publiclockVotes{require(state(_proposalId)==ProposalState

zkSync将与buidl box合作于2月20日至3月19日举办首个zkSyncEra?系列黑客松:金色财经报道,基于ZKRollup的以太坊二层网zkSync宣布将与buidl box合作开启zkSyncEra?系列黑客松中的首个,此次黑客松于2月20日至3月19日举行,专注于帐户抽象和Web3安全,奖池为2.5万美元。[2023/2/18 12:15:04]

else{proposal

receipt

Axie Infinity推出Builders Program计划,旨在进一步提升游戏体验:1月21日消息,P2E游戏Axie Infinity官方宣布推出Builders Program,并提供总计5000枚AXS支持该计划,旨在为社区开发者提供资源、推广、支持和工具以进一步提升Axie Infinity的游戏体验。据Axie Infinity透露,凡是入选的项目至少可以获得价值5000美元的AXS捐赠,还能得到SkyMavis游戏设计和产品的指导,以及Ronin Network测试网、SSO和钱包集成等支持。[2022/1/22 9:05:16]

该函数方法允许任何拥有一定数量资产的用户发起提案,持有该资产的其他用户进行投票,函数代码未发现安全问题,因此我们推测攻击者可能是通过合约发起的提案。在提案通过后,攻击者铸造了100万个BUILD代币,耗尽大部分Balancer和Uniswap流动性池的资金:

动态 | 日本BUIDL公司推出面向加密货币交易所的对应工具SHIEDL:据Crypto Watch消息,5月30日,日本BUIDL公司推出了面向加密货币交易所的AML/CFT对应工具SHIEDL。该工具可计算出区块链地址的风险分数,并通过API提供,该工具可防范风险较大的用户的行为。目前该工具只能用于BTC、ETH、XRP三个币种,今后将逐渐应对ERC-20及其他加密货币。[2019/5/30]

而在2021年1月,TimeLock合约将治理权交给了0x5a5a6ebeb61a80b2a2a5e0b4d893d731358d888583:

最后在2022年2月,由Suho.eth发起提案,利用低投票阈值将治理者更换为0xdcc8a38a3a1f4ef4d0b4984dcbb31627d0952c28,恶意接管后铸币套现。

0x03:总结

经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由攻击者创造低阈值提案,让自己恶意接管了治理权限,去中心化的治理实现是很有必要的,但不应该让攻击者可以利用少量投票就通过提案。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:46ms0-3:592ms