Back to Blog

Анализ атаки на DAOMaker

Code Auditing
August 12, 2021
2 min read

Анализ атаки

Транзакция атаки:

0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9

Смарт-контракт атакующего является открытым исходным кодом.

Шаг 1: 0x054e отправляет транзакцию для предоставления роли администратора адресу 0x0eba в кошельке (0x41b8).

Затем 0x0eba предоставляет роль «DAO contracts» адресу 0x1c93.

Наконец, 0x1c93 (XXX) вызывает функцию withdrawFromUser для перевода средств на контракт XXX.

Интересно, что кошелек жертвы 0x41b8 был создан адресом 0x054e.

Резюме

Подводя итог: 0x054e создает кошелек жертвы 0x41b8. Затем 0x054e предоставляет роль администратора адресу 0x0eba, который далее предоставляет роль «DAO Contracts» адресу 0x1c93. В конечном итоге 0x1c93 выводит деньги со счета жертвы.

Sign up for the latest updates
Информационный бюллетень — июнь 2026 г.
Security Insights

Информационный бюллетень — июнь 2026 г.

Отчёт за июнь 2026: три крупнейших инцидента с общими потерями ~$22M. Honeypot атака опустошила MEV-бот на ~$15M. Уязвимости Aztec rollup привели к потере ~$4.35M. Ошибка Ed25519 в SecondFi раскрыла ключи 374 кошельков (~$2.4M).

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec
Security Insights

~$4M потеряно: эксплойты Taiko и SecondFi | Еженедельник BlockSec

Отчёт за 22–28 июня 2026: два инцидента, ~$4,1М потерь. Эксплойт Taiko: утечка ключа SGX + неполная политика аттестации → подделка L2-доказательств. SecondFi: уязвимость Ed25519 (нонс без секрета) → восстановление приватных ключей Cardano.

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec
Security Insights

~$18 млн потеряно: jaredFromSubway, Aztec и другие | Еженедельник BlockSec

Еженедельный отчёт о безопасности блокчейна (15–21 июня 2026): 3 инцидента в Ethereum и BNB Chain, ~$18,3M потерь. Атака на MEV-бот jaredFromSubway (~$15M): бот одобрял свои активы недоверенным контрактам. Злоумышленник создал фиктивные токены и пулы. Также: эксплойт Aztec — отсутствие ограничения равенства в ZK-схеме.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit