Polygon生态项目GenomesDAO遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
安全团队:HACHiKO项目代币超跌90%,请保持警惕:金色财经报道,据CertiK数据监测,HACHiKO项目代币超跌90%,BSC合约(地址0x66238......c29e) ,请保持警惕。[2022/9/9 13:18:22]
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
安全团队:Grim Finance攻击者中间地址向Tornado Cash转入1800枚ETH:金色财经报道,据派盾(PeckShield)监测,Grim Finance攻击者的中间地址(0x9882238)向Tornado Cash转入1800枚ETH(约330万美元)。2021年12月,Grim Finance遭到重入攻击,该攻击窃取了价值约3000万美元的加密资产。[2022/8/19 12:36:08]
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
安全团队:Legends of Optimus和SolarCity Finance发生Rugpull:4月15日消息,派盾发推表示,Legends of Optimus和SolarCity Finance发生Rugpull。据悉这两个项目是同一个开发者,目前Optimus和SolarCity代币都下跌了98%,提醒用户注意风险。[2022/4/15 14:27:16]
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。