宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > DAI > 正文

漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

Dogecoin官方提醒:有消息称Dogecoin v1.15.0修复v1.14.3中的漏洞,其未指向官网或为恶意软件:Dogecoin官方提醒称,有关于Dogecoin v1.15.0的消息和帖子声称修复了v1.14.3中的漏洞,但并非指向Dogecoin官网。这不是Dogecoin核心客户端的合法版本。Dogecoin表示,可能是恶意软件,提醒用户不要下载。[2021/8/6 1:38:06]

Legend panda CEO:凡是程序都有漏洞,需要通过各种措施来规避:据官方消息,Legend panda CEO Kevin 10月31日受邀出席外滩W酒店巴斯克产品发布活动,并发表“数字资产平台安全”报告。 Kevin在活动中与参会的嘉宾和观众就“数字资产平台常见的安全隐患”问题进行分享并发表了相关意见,他认为:凡是程序(平台)都有漏洞,这些漏洞可能来自研发、运维或者使用者。我们需要通过各种措施来规避。并针对如何避免安全隐患问题作出建议,帮助普通用户在日常中保护自己的数字资产安全。

据悉,Legend Panda是垂直于提供企业级区块链解决方案和服务的公司。[2020/11/11 12:19:19]

② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。

比特币开发人员Matt Corallo发现潜在闪电网络漏洞:比特币核心贡献者、Blockstream联合创始人Matt Corallo以及支付巨头Square旗下加密团队发现了一个潜在的比特币闪电网络漏洞。在回顾闪电网络交易机制的一个新方面时,Corallo偶然发现了这一漏洞,该漏洞理论上允许用户提取哈希时间锁定合同(Hash Time-Locked Contract,简称HTLC)中持有的资金。HTLC本质上是一种智能合约,它要求付款接收者通过生成付款的加密证据来确认交易,或者放弃要求全部付款的能力。如果付款未被确认,寄件人可以要求退款。该漏洞使收件人可以拒绝发件人收到此退款。Corallo提交了几个修复程序,但是没有一个特别容易或“正常”的。但他指出,这并不是一个紧迫的问题,因为利用该漏洞是不切实际的。尽管如此,考虑到只有十分之一的闪电网络节点持有其80%的比特币,这种利用可能会造成比最初想象的更多的问题。(Decrypt)[2020/5/2]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此,攻击者可以伪造oldStaking合约,任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

标签:STASTAKECOOINSTATE价格pSTAKE FinanceZynecoinGolder Coin

DAI热门资讯
金色观察 | 一分钟速览Aptos代币经济学

明星公链Aptos主网于今日凌晨官宣上线。官方浏览器数据显示,APT代币的80%已抵押,引发社区80%代币供应由团队和投资者控制的猜测。为澄清疑虑,Aptos基金会发布了APT代币经济学的速览版本.

1900/1/1 0:00:00
Vitalik:不同类型的 ZK-EVM

特别感谢 PSE、Polygon Hermez、Zksync、Scroll、Matter Labs 和 Starkware 团队的探讨与校对。最近,很多“ZK-EVM”项目很快相继发出公告.

1900/1/1 0:00:00
金色早报 | SBF:FTX 没有参与火币全球收购

▌伊朗比特币倡导者Ziya Sadr被伊朗安全部队逮捕金色财经报道,据多个消息来源称,伊朗的比特币倡导者Ziya Sadr上个月被伊朗安全部队逮捕.

1900/1/1 0:00:00
zkSync L3“探路者”将于 2023 年Q1登陆测试网

距离第一个可生产的、兼容 EVM 的第 2 层 ZK 汇总发布到主网还有不到18 天,zkSync宣布即将到来的另一个激动人心的里程碑:zkSync 的兼容 EVM 的Layer 3“探路者(Pathfinder)”原型将公开部署20.

1900/1/1 0:00:00
深入了解 Layer3:Web3「用途」的下一叙事?

原文:A Deep Dive Into Layer 3s & Their Impact on Web3.0 撰文:Jonathan 编译:Katie 辜,Odaily 星球日报 图片来源:由无界版图 AI 工具生成.

1900/1/1 0:00:00
金色Web3日报 | 俄罗斯银行建议对NFT、智能合约进行监管

DeFi数据 1、DeFi代币总市值:387.5亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量88.

1900/1/1 0:00:00