漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析_STA:CRE

北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

因SecretSwap合约存在漏洞,公链Secret Network已完成计划外升级:9月15日消息,隐私公链Secret Network在推特表示,主网已经进行了一次计划外升级,将主网版本从secret-2升级为secret-3,以防止网络出现重大安全问题而导致资金损失。团队表示,原生代币SCRT和跨链桥合约都没有受到影响,只有一个单一的智能合约受到了影响,该合约来自于SecretSwap,有一个漏洞被利用了,使攻击者可以抽走质押SEFI合约中的资金。目前跨链桥仍处于关闭状态,交易所的存款功能也处于关闭状态。[2021/9/15 23:25:43]

特斯拉帮助BTCPay Server修复漏洞:特斯拉员工披露了开源比特币支付处理器和钱包BTCPay Server中的一个错误,并帮助该项目团队修复了该错误。在上周审查了该项目的GitHub后,特斯拉将该漏洞告知了BTCPay团队,有关该错误的更多信息将在BTCPay的下一个主要版本中公开。(Coindesk)[2021/3/31 19:31:47]

② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。

加密交易所Exmo出现重大安全漏洞 官方已冻结提款:12月21日消息,英国加密货币交易所Exmo发生重大安全漏洞,导致平台已冻结所有提款。根据该交易所发布的通知,Exmo检测到可疑的提现活动,比特币(BTC)等主要货币从该交易所的热钱包中被提取。对此,Exmo业务发展主管Maria Stankevich表示,这次事件不是很严重,因为受影响的热钱包占该交易所总资产的5%。他还强调称,交易所冷钱包里的所有资产都是安全的。(Cointelegraph)[2020/12/21 16:00:24]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此,攻击者可以伪造oldStaking合约,任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:20ms