DAO Maker的Vesting合约遭到黑客攻击，攻击者最终获利近400万美金

据慢雾区情报，DAO Maker的Vesting合约遭到黑客攻击。DeRace Token (DERC)，Coinspaid (CPD)，Capsule Coin (CAPS)，Showcase Token (SHO)都使用了Dao Maker的分发系统，在DAO Maker中进行持有者发行（SHO）时因DAO Maker合约被攻击，即SHO参与者的分发系统中出现了一个漏洞：init未初始化保护，攻击者初始化了init的关键参数，同时变更了owner，然后通过emergencyExit将目标代币盗走，并兑换成了DAI，攻击者最终获利近400万美金。

黑客利用Vesting合约中的漏洞，将Vesting合约中的代币提走，如下是简要分析：

对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息：

1. Vesting合约中的init函数 (函数签名：0x84304ad7)，没有对调用者进行鉴权，黑客通过执行init函数成为Vesting合约的Owner。

2. Owner可以执行Vesting合约中的emergencyExit函数，进行紧急提款。

利用同样的手法其攻击其他Vesting合约，转移如下代币：DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。

数据：约6360万枚USDT从JustLendDAO转入孙宇晨钱包地址:金色财经报道，Whale Alert监测显示，北京时间今日21:40，63,613,056枚USDT（约6364万美元）从JustLendDAO转入孙宇晨钱包地址。[2023/5/30 9:49:39]

SubDAO Labs决定暂停Polkadot平行链插槽拍卖，将在Moonriver上部署其合约:12月5日消息，SubDAO Labs决定暂停Polkadot平行链插槽拍卖，并优先与其他平行链合作。SubDAO将在Moonriver上部署其合约，作为与其他平行链合作的第一步。SubDAO将相应调整SubDAO代币经济模型：SubDAO将销毁用于平行链拍卖的预存代币总数的三分之二，即所有流通代币的20%，剩下的三分之一将保留为“未来平行链计划成本和生态开发者激励”。本次调整后，GOV代币的总供应量将从10亿枚变为8亿枚，减少20%。[2021/12/5 12:52:03]

MakerDAO将支持通过wstETH作为抵押品来铸造DAI:10月28日消息，关于在MakerDAO中添加来自以太坊2.0质押协议Lido Finance的wstETH代币作为抵押品的提案得到通过，wstETH-A金库初始债务上限为500万枚DAI，债务下线为1万枚DAI。

此外，该提案还提议将 GUNIV3DAIUSDC1-A金库的债务上限从1000万DAI提升到5000万DAI，ETH-A、 ETH-B、WBTC-A 三个金库的债务上限即时访问模块（Debt Ceiling Instant Access Module）参数也将调整。

该提案将于北京时间10月29日凌晨1:43执行。MakerDAO只支持wstETH，用户需要在Lido Finance中质押ETH得到stETH，然后通过Lido Finance的一键包装功能将stETH兑换为wstETH，最后用户可以用wstETH抵押进MakerDAO铸造DAI。[2021/10/28 21:05:04]

相关资讯