–>
勒索是 Indexed Finance 加密货币金库中剩余资金与毁灭性治理代币攻击之间的唯一障碍。
当被忽视的 Indexed Finance DAO 的观察者注意到一项旨在耗尽 DAO 剩余 90,000 美元的恶意提案时,他们要求分享提案者的利润,以避免揭露剥削者。
提议者显然拒绝了,导致勒索者向前索引贡献者劳伦斯·戴发出警报,劳伦斯·戴随后将这次攻击告诉了他在社交媒体平台 X 上的 30,000 名粉丝。
几个小时后,治理提案以微弱优势被否决。
Indexed Finance 于 2020 年作为加密货币指数基金推出,但自从 2021 年闪电贷款攻击从 DAO 的金库中抽走 15.8 万美元以来,其活动大多结束。
自袭击发生以来,Day 和开发人员 Dillon Kellar 停止了该协议的开发工作,而在上周之前,自 2022 年中期财政部正在弥补投资者损失并为集体诉讼提供资金以来,指数化治理还没有进行过投票。
但在 DeFi 中,无论用户是否存在,协议都保持运行。 随着 Indexed 的 NDX 治理代币跌至零点几美分,有人发现了一个机会。
需要 400,000 NDX(当时为 4,000 美元)才能达到治理法定人数并通过提案。 漏洞利用者提出了一项无名提案,该提案设有两天的投票窗口,其中包含用于耗尽 Indexed 已耗尽但仍然存在的金库的代码 - 包含 一些 每个 DeepDAO 92,000 美元。
凭借所需的 NDX,利用者达到了赞成票的法定人数。
另请参阅: 索引金融攻击者尝试另一种利用相关的源
在该提案的最后时刻,前 Indexed 贡献者 Day 了解到了该漏洞,并向 X 上的追随者发出请求。
“根据‘不,你不应该通过利用治理来掠夺不活跃开发的项目的协议以获取利润’的原则,如果有人仍然碰巧持有被委托给自己或他人的 NDX,我将不胜感激。他们控制投票反对的钱包”,Day 写.
大家好,
目前,针对指数金融金库残余物的敌对治理攻击正在持续发生——36K 的 DAI 和大约 48 美元。 滑点前 NDX 为 XNUMXK。
我从没想过我必须再次发布有关索引治理的文章(已经两年了…… pic.twitter.com/mUUVMDnq4Q
— 劳伦斯 (@functi0nZer0) 2023 年 11 月 18 日
“反对”票纷至沓来,该提案以 NDX 约 90 美元的优势被否决。
Day 称,向他举报此次攻击的人首先勒索了攻击者,索要 40% 的资金。
警告我们的人绝对“零”功劳,因为他向提议者发送了一条消息,说只有在没有获得 40% 收益的情况下他才会警告我们
— 劳伦斯 (@functi0nZer0) 2023 年 11 月 18 日
链上侦探 ZachXBT 将尝试利用的钱包地址与本月早些时候针对不活跃加密项目的第二次攻击联系起来。
链上是事情变得有趣的地方。
指数金融治理攻击背后的人也尝试过 @relevantfeed 本月早些时候通过 0x9b9。
0x9b9 是由 Alex Chon 资助的,一名据称是朝鲜 IT 工人的人因可疑行为而被解雇了至少 2 个职位…… https://t.co/vXYAmzPxnn pic.twitter.com/nXoVDaWYvZ
— ZachXBT (@zachxbt) 2023 年 11 月 18 日
随着失败的项目不断积累,对破旧 DAO 的金库的攻击变得越来越普遍,但不可变的代码使资金留在链上。 上个月,由于恶意提案未被注意到,基于 Solana 的 DAO 被利用了 230,000 美元。
DeFi 安全服务 OpenCover 首席执行官 Jeremiah Smith 在 Telegram 消息中表示:“由代币持有者管理、永久执行的代码会带来意想不到的副作用,那就是通常没有终止生命的计划。” “链上应用程序的‘太空垃圾’问题才刚刚开始。”