北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Transit Swap漏洞利用者将另外2612枚BNB转回Transit Finance:10月3日消息,跨链DEX聚合器Transit Swap漏洞利用者已将另外2612枚BNB转回Transit Finance,但选择保留剩余的1万枚BNB并将其发送给Tornado Cash作为漏洞赏金。攻击者表示,他只利用了ETH和BNB Chain,如果攻击了其他链,如FTM、TRON、Polygon等,可以拿走近1亿美元。[2022/10/3 18:38:27]
动态 | 针对Hadoop系统漏洞的攻击急剧增加:据theregister.co.uk消息,安全团队Securonix的研究报告称,最近几个月针对Hadoop系统漏洞(如Hadoop YARN、Redis和ActiveMQ)的攻击急剧增加。该团队发现,网络攻击的范围从单一攻击到利用多个漏洞的更复杂的攻击,包括未经身份验证的命令漏洞和远程命令执行漏洞,以及远程文件执行漏洞等。[2019/1/24]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | Blockstream Liquid网络硬件后门可能存在漏洞:据bitcoin.com消息,比特币技术公司Blockstream承认其旗舰Liquid网络可能容易受到硬件漏洞的影响。在最近披露某些中国制造的主板包含后门之后,Blockstream承认这种攻击可能允许攻击者渗透其脱链比特币转移系统。如果私钥数据通过后门计算机芯片泄露,可能会造成巨大损失。[2018/10/6]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
By:?Kong 据慢雾区情报,2022年10月7日,BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,超5.7亿美元。慢雾安全团队分析后以简析的形式分享给大家.
1900/1/1 0:00:00撰文:Zeneca_33我刚从拉斯维加斯的W3BX博览会上呆了一周回来。此次参会,我参加了11个小组讨论。我遇到了数百人,包括几十个对Web3和NFT世界完全陌生的人.
1900/1/1 0:00:0046万人争夺,以2500份用于公开申购的藏品计算,首发中签率不足千分之六。跟王思聪有关的数字藏品平台名堂MintTown,在发售第一天就迎来一众玩家哄抢.
1900/1/1 0:00:0010月11日消息,Ripple合作伙伴、澳大利亚金融科技公司Airwallex宣布以55亿美元估值完成1亿美元新一轮融资,本轮融资由腾讯控股有限公司、红杉资本中国、孤松资本、澳大利亚工业养老基金HostPlus和一家北美养老基金参投.
1900/1/1 0:00:00原文标题:《应用链的兴起将带来哪些风险和机遇?未来将会如何发展?》原文作者:DmitriyBerenzon,1kx?分析师原文编译:白泽研究院虽然区块链的最初应用围绕货币和金融,但在过去几年中,艺术、游戏和音乐等领域的应用激增.
1900/1/1 0:00:00原文标题:《三大公链新贵对比:Aptos、Sui、Caduceus如何蓄力下一个市场热点?》原文作者:WebX实验室本文来自微信公众号:WebX实验室在越来越快的行业周期循环中,我们见证了一批又一批新老玩家的登场与退场.
1900/1/1 0:00:00