慢雾：DAO Maker 的 Vesting 合约遭到黑客攻击简析

链捕手消息，据慢雾区情报，DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)，Coinspaid (CPD)，Capsule Coin (CAPS)，Showcase Token (SHO)都使用了 Dao Maker 的分发系统，在 DAO Maker 中进行持有者发行（SHO）时因 DAO Maker 合约被攻击，即 SHO 参与者的分发系统中出现了一个漏洞：init 未初始化保护，攻击者初始化了 init 的关键参数，同时变更了 owner，然后通过 emergencyExit 将目标代币盗走，并兑换成了 DAI，攻击者最终获利近 400 万美金。

黑客利用 Vesting 合约中的漏洞，将 Vesting 合约中的代币提走，如下是简要分析：

对 Vesting 合约的实现合约 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 进行反编译得到如下信息：

1. Vesting 合约中的 init 函数 (函数签名：0x84304ad7)，没有对调用者进行鉴权，黑客通过执行 init 函数成为 Vesting 合约的 Owner。
2. Owner 可以执行 Vesting 合约中的 emergencyExit 函数，进行紧急提款。

相关合约地址：（以 DERC 为例）

Vesting 代理合约：
0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940
0xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting 实现合约：
0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址：
0x2708cace7b42302af26f1ab896111d87faeff92f
------------------------------------------
利用同样的手法其攻击其他 Vesting 合约，转移如下代币：
DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae
Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355
Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2
Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f