北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Dogecoin官方提醒:有消息称Dogecoin v1.15.0修复v1.14.3中的漏洞,其未指向官网或为恶意软件:Dogecoin官方提醒称,有关于Dogecoin v1.15.0的消息和帖子声称修复了v1.14.3中的漏洞,但并非指向Dogecoin官网。这不是Dogecoin核心客户端的合法版本。Dogecoin表示,可能是恶意软件,提醒用户不要下载。[2021/8/6 1:38:06]
Legend panda CEO:凡是程序都有漏洞,需要通过各种措施来规避:据官方消息,Legend panda CEO Kevin 10月31日受邀出席外滩W酒店巴斯克产品发布活动,并发表“数字资产平台安全”报告。 Kevin在活动中与参会的嘉宾和观众就“数字资产平台常见的安全隐患”问题进行分享并发表了相关意见,他认为:凡是程序(平台)都有漏洞,这些漏洞可能来自研发、运维或者使用者。我们需要通过各种措施来规避。并针对如何避免安全隐患问题作出建议,帮助普通用户在日常中保护自己的数字资产安全。
据悉,Legend Panda是垂直于提供企业级区块链解决方案和服务的公司。[2020/11/11 12:19:19]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
比特币开发人员Matt Corallo发现潜在闪电网络漏洞:比特币核心贡献者、Blockstream联合创始人Matt Corallo以及支付巨头Square旗下加密团队发现了一个潜在的比特币闪电网络漏洞。在回顾闪电网络交易机制的一个新方面时,Corallo偶然发现了这一漏洞,该漏洞理论上允许用户提取哈希时间锁定合同(Hash Time-Locked Contract,简称HTLC)中持有的资金。HTLC本质上是一种智能合约,它要求付款接收者通过生成付款的加密证据来确认交易,或者放弃要求全部付款的能力。如果付款未被确认,寄件人可以要求退款。该漏洞使收件人可以拒绝发件人收到此退款。Corallo提交了几个修复程序,但是没有一个特别容易或“正常”的。但他指出,这并不是一个紧迫的问题,因为利用该漏洞是不切实际的。尽管如此,考虑到只有十分之一的闪电网络节点持有其80%的比特币,这种利用可能会造成比最初想象的更多的问题。(Decrypt)[2020/5/2]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
明星公链Aptos主网于今日凌晨官宣上线。官方浏览器数据显示,APT代币的80%已抵押,引发社区80%代币供应由团队和投资者控制的猜测。为澄清疑虑,Aptos基金会发布了APT代币经济学的速览版本.
1900/1/1 0:00:00特别感谢 PSE、Polygon Hermez、Zksync、Scroll、Matter Labs 和 Starkware 团队的探讨与校对。最近,很多“ZK-EVM”项目很快相继发出公告.
1900/1/1 0:00:00▌伊朗比特币倡导者Ziya Sadr被伊朗安全部队逮捕金色财经报道,据多个消息来源称,伊朗的比特币倡导者Ziya Sadr上个月被伊朗安全部队逮捕.
1900/1/1 0:00:00距离第一个可生产的、兼容 EVM 的第 2 层 ZK 汇总发布到主网还有不到18 天,zkSync宣布即将到来的另一个激动人心的里程碑:zkSync 的兼容 EVM 的Layer 3“探路者(Pathfinder)”原型将公开部署20.
1900/1/1 0:00:00原文:A Deep Dive Into Layer 3s & Their Impact on Web3.0 撰文:Jonathan 编译:Katie 辜,Odaily 星球日报 图片来源:由无界版图 AI 工具生成.
1900/1/1 0:00:00DeFi数据 1、DeFi代币总市值:387.5亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量88.
1900/1/1 0:00:00