Back to Blog

Анализ атаки на DAOMaker

Code Auditing
August 12, 2021
2 min read

Анализ атаки

Транзакция атаки:

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

Смарт-контракт атакующего является открытым исходным кодом.

Шаг 1: 0x054e отправляет транзакцию для предоставления роли администратора адресу 0x0eba в кошельке (0x41b8).

Затем 0x0eba предоставляет роль «DAO contracts» адресу 0x1c93.

Наконец, 0x1c93 (XXX) вызывает функцию withdrawFromUser для перевода средств на контракт XXX.

Интересно, что кошелек жертвы 0x41b8 был создан адресом 0x054e.

Резюме

Подводя итог: 0x054e создает кошелек жертвы 0x41b8. Затем 0x054e предоставляет роль администратора адресу 0x0eba, который далее предоставляет роль «DAO Contracts» адресу 0x1c93. В конечном итоге 0x1c93 выводит деньги со счета жертвы.

Sign up for the latest updates
~$800K потеряно: двойное списание в Hinkal | Еженедельник BlockSec
Security Insights

~$800K потеряно: двойное списание в Hinkal | Еженедельник BlockSec

Еженедельный отчёт охватывает 1 инцидент за 29 июня – 5 июля 2026 г.: ~$800K потерь в Ethereum. Протокол Hinkal был атакован через двойное списание из-за уязвимости в устаревшем формате нот, позволявшей извлекать несколько нуллификаторов из одного депозита.

Информационный бюллетень — июнь 2026 г.
Security Insights

Информационный бюллетень — июнь 2026 г.

Отчёт за июнь 2026: три крупнейших инцидента с общими потерями ~$22M. Honeypot атака опустошила MEV-бот на ~$15M. Уязвимости Aztec rollup привели к потере ~$4.35M. Ошибка Ed25519 в SecondFi раскрыла ключи 374 кошельков (~$2.4M).

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec
Security Insights

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec

Отчёт за 22–28 июня 2026: два инцидента, ~$4,1М потерь. Эксплойт Taiko: утечка ключа SGX + неполная политика аттестации → подделка L2-доказательств. SecondFi: уязвимость Ed25519 (нонс без секрета) → восстановление приватных ключей Cardano.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit