STA:漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析

北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

去中心化杠杆协议Gearbox出现安全漏洞,现已暂停协议运行:金色财经报道,去中心化杠杆协议Gearbox发推表示,在收到Immunefi的漏洞报告后,信用账户方面已被技术多重签名暂停,协议已暂停运行,没有资金存在风险。目前,该项目已经对漏洞进行修复并即将部署。[2022/3/26 14:18:38]

石榴矿池:Filecoin代码存在严重漏洞可实现无限增发:5月28日消息,石榴矿池技术人员发现Filecoin代码中的严重漏洞,通过该漏洞可以实现Filecoin的无限增发。石榴矿池表示,为了证明漏洞的有效性,6Block旗下的三个矿工账号 t01043、t027999、t0234783 通过该漏洞已实现16亿Filecoin的增发,占据了Filecoin富豪榜前三名。6Block团队独立发现并向Filecoin官方汇报了该漏洞,目前正积极协助官方完成漏洞修复。[2020/5/28]

② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。

动态 | 以太坊基金会:Solidity最新版本已修复近期发现的全部漏洞:据ambcrypto报道,根据以太坊基金会新发布的一篇博文,以太坊基金会在ABI编码器中发现了一个漏洞,在优化器中发现了两个漏洞。此外,该团队在过去的两周还在Solidity Optimizer中发现了两个漏洞。但是,这些错误的影响不大。该博客称,昨天发布的Solidity最新版本0.5.7包含了对所有漏洞的修复。[2019/3/28]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此,攻击者可以伪造oldStaking合约,任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

瑞波币ZKS:玩数字藏品圈 我目睹一场巨大泡沫

-1- nft(数字藏品)概念被炒热的那一年,正是虚拟币市场从风起云涌到妖魔乱舞的时候。新闻上说NBA某某球星以十几万美元的价格购买了一张头像,看到这新闻的时候,我满脸疑惑,只能感叹一声“美利坚.

币赢GLASS:Glassnode数据洞察:暴风雨前的平静

与高度波动的股票、信贷和外汇市场形成鲜明对比的是,最近?几周加密货币市场一直保持非常稳定。随着比特币在许多传统指标上得到支撑,我们在评估这里是否会形成真正的底部.

[0:15ms0-4:130ms