北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
动态 | DVP:亦来云存在Dos高危漏洞 可远程攻击致使节点瞬间瘫痪:据DVP漏洞平台12月07日消息,此前,DVP收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈,攻击者可借此漏洞远程将亦来云节点瞬间瘫痪,最终导致亦来云主网瘫痪。目前该漏洞已通报给亦来云基金会并完成修复。DVP安全研究人员表示,DoS高危漏洞属于区块链公链中较高危的漏洞,公链节点既是客户端也是服务端,属于整个公链生态的基础设施,公链节点被轻易攻击下线的危害是非常巨大的,比如会使网络算力骤减,从而导致51%攻击等。[2018/12/7]
动态 | 网络公司发现交易所代码漏洞,攻击者或可获取交易所全部ETH:据coindesk报道,网络安全公司Level K,Trail of Bits和IC3发现,由于平台代码存在漏洞,攻击者可能能够获取许多交易所的全部ETH持有量。? Level K已联系了一些交易所,建议他们如何修补系统,但目前还不清楚有多少家交易所已经对系统进行了修补。[2018/11/22]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 比特币严重漏洞得到修补:据Cryptoticker.io消息,近日,比特币运营方修补了一个严重漏洞,根据补丁发布说明,开发人员修复了Core版本0.16.2和最近的0.16.3版本。据悉,该漏洞允许插入两次相同代币来创建问题区块,从而使接收它的任何客户端的软件崩溃。[2018/9/20]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。