DAO还安全吗?Build Finance遭遇恶意治理接管,被洗劫一空!_DAO:Hibiki Finance

今天2月15日,先祝大家元宵节快乐!团团圆圆每一天!

而在今天凌晨时分,成都链安链必应-区块链安全态势感知平台舆情监测显示,风投DAO组织BuildFinance项目遭遇治理攻击。关于本次攻击,成都链安技术团队第一时间进行了分析。

#1?事件概览

据悉,BuildFinance是一个自我描述为“去中心化风险建设者”,其目标是通过奖励代币来激励新项目。这个想法是用其原生BUILD代币为项目提供资金,作为回报,这些项目将采用BUILD代币来增加对它们的需求。此外,该项目由DAO维护,也就是由一个去中心化组织参与治理。

但是,黑客却悄悄搞起事情,该项目遭遇攻击者恶意治理接管,黑客通过获得足够多的投票成功控制Build代币合约,在三笔交易中铸造了超过10亿的BUILD代币,并耗尽了Balancer和Uniswap流动性池中的大部分资金。事发后,该项目团队在推特建议用户不要在任何平台上购买BUILD代币,项目团队成员试图与攻击者进行直接对话,但对方似乎没有兴趣对话。

一套利机器人利用MakerDAO的DssFlash合约借出2亿美元的DAI,获利3.24美元:金色财经报道,据Arkham称,一套利机器人利用MakerDAO的DssFlash合约,借出了价值2亿美元的稳定币DAI,扣除交易费用后获利3.24美元。[2023/6/14 21:37:04]

看来项目方又遇到了一位“任性”的黑客。下面,跟着我们来看一下事件具体分析过程。

#2?事件具体分析

Round1

通过对项目的交易追踪,我们发现2022年2月12日BuildFinance?项目被攻击者窃取了治理权限,接着向0xdcc8A38A地址分三次铸造了超过10亿的BUILD代币。

AIP-169以超70%赞成率获得通过,ApeCoin DAO与Cartan Group合同延长两个月:金色财经报道,ApeCoin DAO发起将Cartan Group社区管理员功能延长2个月以保持运营连续性和秩序的新提案AIP-196已获得社区通过,其中赞成票的比例达到72.7%。此外,据ApeCoin DAO透露,Cartan Group必须“实施透明的提案请求(“RFP”)流程,以确定在延长期间(2022 年 1 月 1 日至 2 月 28 日)未来的 APE 基金会管理员。如有必要,完全移交给未来的 DAO 管理员,组建由主要 DAO 利益相关者组成的临时工作组,负责开发 DAO 工作组结构和内部能力。据悉,ApeCoin DAO目前已开始寻找下一任社区管理员。[2023/1/6 10:24:29]

然后0xdcc8A38A地址将这10亿代币通过UniswapV2:BUILD兑换将项目方的交易池掏空。

观察交易细节后,我们发现调用Build代币合约mint函数铸币的地址也为0xdcc8A38A。

Merit Circle DAO提议以YGG此前购买MC代币价格的10倍来买断其份额:6月7日消息,链游公会Merit Circle DAO社区针对最近通过的关于建议撤销YGG的种子轮代币分配的提案发布的投票提案显示,建议Merit Circle DAO以0.32美元的价格买断Yield Guild Games(YGG)和Nifty Fund的分配,共计5,468,750枚MC代币,总计175万美元。双方将签署一份法律协议,以合法地执行收购要约并保护双方免受未来诉讼。截止目前,MC报价1.12美元。投票截止时间为6月9日15:58。YGG和YGG联合创始人Gabby Dizon的个人基金Nifty Fund此前以0.032美元的价格向Merit Circle共投资17.5万美元,总共获得5,468,750枚MC代币。(vote.meritcircle.io)[2022/6/7 4:08:11]

接着往下看,我们观察下图项目方的合约代码发现调用mint函数的地址只能为governance地址。此时铸币的地址为0xdcc8A38A,也就是说合约现在的governance权限已经被0xdcc8A38A地址获取了。

Pollen DAO完成500万美元融资 The Graph和AlphaBit领投:9月4日消息,去中心化投资组合管理协议Pollen DAO完成500万美元融资, The Graph和AlphaBit领投。Pollen最初将在Ethereum和Polygon网络上上线,未来计划部署在其他区块链和层上。 Pollen DAO是一个去中心化的投资组合管理协议,支持创建和分配DeFi投资组合和指数代币,同时为代币持有者产生收益。Pollen 旨在为链上经济重塑资产管理,做投资组合管理领域的Uniswap。(dailyhodl)[2021/9/4 23:00:32]

从代码中可以看到原本的governance权限属于合约的创建者即下图的0x2Cb037BD6B7Fbd78f04756C99B7996F430c58172地址。

MakerDAO新增支持MATIC作为Dai抵押品:9月2日消息,MakerDAO上线MATIC-A金库,新增支持MATIC作为Dai抵押品,用户可通过抵押MATIC发行DAI。其中MATIC-A金库稳定费为3%,清算比率为175%,债务上限为1000万DAI,目标可用债务为300万DAI。[2021/9/2 22:54:04]

我们不禁要问,那么governance权限是如何转移到0xdcc8A38A上的呢?

Round2

通过排查,我们通过2020年9月4日的一笔交易发现了线索,攻击者只有通过setGovernance函数才能窃取governance的权限。那么在这期间合约创建者0x2Cb037BD一定使用了setGovernance函数进行了权限转移。

通过查找0x2Cb037BD地址的交易记录可见,在同一天创建者使用了setGovernance函数。交易hash为0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通过查找内部的Storage可见权限转移给了0x38bce4b45f3d0d138927ab221560dac926999ba6地址而不是上述的0xdcc8A38A攻击地址。交易哈希为:0xe3525247cea81ae98098817bc6bf6f6a16842b68544f1430926a363e790d33f2。

通过继续跟进0x38bce4b地址,发现是一个Timelock合约,而合约中可以调用build代币合约函数的setGovernance函数只有executeTransaction函数。

我们跟进executeTransaction函数找到了其中的Storage。

从上图可见0x38bce4b45f3d0d138927ab221560dac926999ba6地址将权限又转移到了0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址,交易哈希为0x9a0c9d5d3da1019edf234d79af072c1a6acc93d21daebae4ced97ce5e41b2573,调用时间为2021年1月25日。

通过继续跟进0x5a6ebeb6地址,在下图可知在2022年2月9日由suho.eth发起的提案,0xdcc8A38A攻击地址在2022年2月11日投票通过。在4天前将governance权限变更为0xdcc8A38A。

suho.eth发起的提案变更governance,投票设置的阈值较低导致提案通过,通过call调用将build合约的governance更改为0xdcc8A38A地址。

0x5a6ebeb6b61a80b2a2a5e0b4d893d731358d888583地址部分代码。

此地址获取governance权限后,0xdcc8A38A地址通过build代币合约的mint函数向本身铸造了大约10亿的build代币,随后去交易池掏空流动性。

获取权限的流程图为:

攻击者利用类似的手法,从另外一个治理合约中转走了该治理合约所持有的代币资产。本次获利共162个ETH、20014个USDC481405个DAI、75719个NCR约为112万美元。

最后,成都链安提醒:DAO合约应该设置合适的投票阈值,实现真正的去中心化治理,避免很少的投票数量就使得提案通过并成功执行,建议可以参考openzeppelin官方提供的治理合约的实现。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-6:857ms