北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Aptos推出漏洞赏金计划,最高奖励100万美元:9月18日消息,据Aptos官方消息,Aptos推出漏洞赏金计划,最高奖励100万美元,以USDC和USDT支付,漏洞类型为区块链和智能合约。所有重要的区块链/DLT 和智能合约错误报告都需要概念证明 (PoC) 才有资格获得奖励。不接受解释和陈述,因为需要 PoC 和代码。该计划中严重错误报告的奖励是固定的;任何产生重大影响的错误报告都将有资格获得全部奖励。[2022/9/18 7:04:25]
派盾:TreasureDAO代码漏洞导致100多枚NFT被盗:3 月 3 日,派盾在社交媒体上针对 TreasureDAO 的代码漏洞进行了分析,由于交易功能中的 buyItem() 函数里存在区分 ERC721 和 ERC1155 的错误,该错误将 ERC721 的价格计算为 ERC1155 的价格,且函数不能有效检验购买数量,导致了此次攻击成为可能。据派盾提供的交易地址显示,本次攻击导致了上百枚 NFT 被盗。[2022/3/3 13:34:54]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
官方消息人士称BM已经修复早上360所曝漏洞:今日,360公司发现了区块链平台EOS的一系列高危安全漏洞。据消息人士称BM已经修复了这个漏洞,更多关于EOS漏洞的消息需要谨慎对待,BM稍后会回复这个问题,IMEOS将持续跟进报道。[2018/5/29]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。