北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Defrost Finance否认1200万美元的漏洞利用是内部“Rug Pull”:金色财经报道,基于Avalanche的DeFi协议Defrost Finance否认1200万美元的漏洞利用是内部“Rug Pull”。区块链安全公司DeFiYieldSec此前分析称,此次漏洞利用是团队内部人员所致,因为Defrost Finance多重签名钱包的创建者与在漏洞利用发生前要求更换oracle的地址相同。Defrost Finance坚决否认这些说法,称它们是“诽谤和不准确的”,并表示它在向黑客提供赏金后于12月26日收回了所有被盗资金,所有受影响的用户都将得到补偿。[2022/12/31 22:17:27]
bEarn Fi 将分两个阶段补偿漏洞受害者近 1086 万 BUSD 资金损失:DeFi 协议 bEarn Fi 表示将分为两个阶段对此前被攻击损失的近 1086 万 BUSD 进行补偿。目前进行第一阶段, bEarn Fi 更新了界面,用户可通过访问 bEarn Fi,连接钱包点击提款按钮以领取赔偿。第二阶段将在日后进行,团队需要时间来为用户损失的另一部分资金建立赔偿系统。团队将按照承诺按总额的 105%补偿漏洞受害者的巨额资金损失,但团队表示目前没有足够的经济能力立即补偿,建议使用剩余的 DAO 资金以及该团队的未来薪金和运营资金来补偿用户损失。[2021/5/19 22:20:41]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 门罗币网站钱包通过代码审计 安全漏洞已修复:据Cointelegraph报道,门罗币网站钱包XMRWallet宣布,已通过区块链策略和科技顾问集团New Alchemy对其进行的代码审计,“一些潜在的漏洞”现已得到修复,其风险得到缓解。
据悉,审计对象包括其网站流量和用户界面等。[2018/7/25]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。