北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
去中心化杠杆协议Gearbox出现安全漏洞,现已暂停协议运行:金色财经报道,去中心化杠杆协议Gearbox发推表示,在收到Immunefi的漏洞报告后,信用账户方面已被技术多重签名暂停,协议已暂停运行,没有资金存在风险。目前,该项目已经对漏洞进行修复并即将部署。[2022/3/26 14:18:38]
石榴矿池:Filecoin代码存在严重漏洞可实现无限增发:5月28日消息,石榴矿池技术人员发现Filecoin代码中的严重漏洞,通过该漏洞可以实现Filecoin的无限增发。石榴矿池表示,为了证明漏洞的有效性,6Block旗下的三个矿工账号 t01043、t027999、t0234783 通过该漏洞已实现16亿Filecoin的增发,占据了Filecoin富豪榜前三名。6Block团队独立发现并向Filecoin官方汇报了该漏洞,目前正积极协助官方完成漏洞修复。[2020/5/28]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 以太坊基金会:Solidity最新版本已修复近期发现的全部漏洞:据ambcrypto报道,根据以太坊基金会新发布的一篇博文,以太坊基金会在ABI编码器中发现了一个漏洞,在优化器中发现了两个漏洞。此外,该团队在过去的两周还在Solidity Optimizer中发现了两个漏洞。但是,这些错误的影响不大。该博客称,昨天发布的Solidity最新版本0.5.7包含了对所有漏洞的修复。[2019/3/28]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。