链闻消息,据慢雾区情报,DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。

黑客利用 Vesting 合约中的漏洞,将 Vesting 合约中的代币提走,如下是简要分析:
对 Vesting 合约的实现合约 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 进行反编译得到如下信息:

  1. Vesting 合约中的 init 函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行 init 函数成为 Vesting 合约的 Owner。
  2. Owner 可以执行 Vesting 合约中的 emergencyExit 函数,进行紧急提款。