CertiK：不借助漏洞的攻擊？ True Seigniorage Dollar攻擊事件分析

CertiK

2021-03-16 03:02

本文约1314字，阅读全文需要约5分钟

北京時間3 月14 日，True Seigniorage Dollar發生新型攻擊事件，總損失高達約1.66萬美金，CertiK帶你分析此次攻擊。

北京時間3月14日，CertiK安全技術團隊發現DeFi穩定幣項目True Seigniorage Dollar發生新型攻擊事件，總損失高達約1.66萬美金。

技術分析"漏洞"二級標題

圖片描述

圖1：TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息

圖片描述

圖4：攻擊者利用所持地址之一確定2號提案，並向所持另一地址鑄造巨額TSD代幣

圖片描述

總結

圖片描述

總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。

攻擊者通過對DAO機制的了解，攻擊者低價持續的購入TSD，利用項目投資者由於已經無法從項目中獲利後紛紛解綁(unbond)所持代幣之後無法再對提案進行投票的機制，並考慮到項目方擁有非常低的投票權比例，從而以絕對優勢"綁架"了2號提案的治理結果, 從而保證其惡意提案被通過。

雖然整個攻擊最後是以植入後門的惡意合約完成的，但是整個實施過程中，DAO機制是完成該次攻擊的主要原因。

CertiK安全技術團隊建議：

從DAO機制出發，項目方應擁有能夠保證提案治理不被"綁架"的投票權，才能夠避免此次攻擊事件再次發生。

推荐文章

6 小時前

3 小時前

4 小時前

5 小時前

7 小時前

8 小時前