北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
DefiLlama创始人:Foundation存在合约漏洞:6月21日消息,DefiLlama创始人0xngmi发推表示,NFT市场Foundation的NFT合约有一个漏洞,可以让基金会团队销毁几乎所有在其平台上铸造的NFT。Foundation的集合合约使用转发代理模式来节省部署的Gas,这意味着所有集合调用一个单一的合约来使用它的代码不是问题,并且基金会的集合有一个功能,允许创建者在没有NFT的情况下销毁它,目前基金会团队的合约所有权由6个中的2个多重签名持有。[2023/6/21 21:51:45]
Bancor发布V2版本智能合约代码,并启动漏洞赏金计划:金色财经报道,去中心化交易协议Bancor发布了Bancor V2版本智能合约的代码,该代码具有多种改进功能,可帮助该协议的用户和流动性提供者。同时Bancor启动了漏洞赏金计划,以激励社区在发布之前发现错误。据此前消息,今年6月Bancor部署的新合约出现了安全漏洞,绝大多数资金被Bancor发起的白帽攻击转移到了安全的地址,但仍造成了超过13.5万美元损失。[2020/7/18]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 超过一半的交易所都有安全漏洞:据CCN报道,ICO评级公司最近的一份报告发现,只有46%的加密货币交易所达到了预期的安全参数,其余54%的交易所被认为采取了低于标准的安全措施,使得数十万交易员和投资者面临风险。样本交易所包括100家交易所,所有交易所的24小时交易量均超过100万美元。[2018/10/21]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。