據慢霧區情報,DAO Maker的Vesting合約遭到黑客攻擊。 DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分發系統,在DAO Maker中進行持有者發行(SHO)時因DAO Maker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然後通過emergencyExit將目標代幣盜走,並兌換成了DAI,攻擊者最終獲利近400萬美金。黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析: 對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息: 1. Vesting合約中的init函數(函數簽名:0x84304ad7),沒有對調用者進行鑑權,黑客通過執行init函數成為Vesting合約的Owner。 2. Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。利用同樣的手法其攻擊其他Vesting合約,轉移如下代幣:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。
陀螺財經訊