安全团队：GenomesDAO遭攻击因合约可被任意重复初始化设置关键参数

Polygon生态项目GenomesDAO遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

安全团队：Deviants项目Discord服务器遭到攻击:金色财经报道，据CertiK监测，Deviants项目Discord服务器遭到攻击。请社区用户在服务器修复之前不要点击任何链接或声明消息。[2023/1/4 9:51:28]

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

安全团队：BSC链上RSHIB项目发生Rug Pull，代币价格暴跌92%:8月25日消息，安全团队CertiK预警监测显示，BSC链上RSHIB项目发生Rug Pull，RSHIB代币价格暴跌92%。合约部署者移除流动性并向外部账户（EOA）地址发送约47枚BNB。该项目的推特帐户也已被删除。[2022/8/25 12:47:44]

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

安全团队：约340枚ETH的Curve被盗资金被分别转入Tornado Cash、FixedFloat和币安:金色财经报道，据派盾（PeckShield）监测，Curve的被盗资金约有27.7枚ETH转移至TornadoCash，约292枚ETH转移至FixedFloat，约20枚ETH转移至币安。

此前消息，加密交易所FixedFloat发推称，其安全部门已经冻结部分转入其平台的Curve被盗资金，数量为112枚ETH。[2022/8/10 12:14:53]

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

标签：STASTAKINGStakingStarShip BSCstake币圈LuxeRacingstaking币圈

屎币热门资讯