北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Solidity发布v0.8.14版本,修复两个重要漏洞:5月19日消息,据官方推特,以太坊智能合约编程语言Solidity发布v0.8.14版本。本次更新修复了两个重要漏洞。第一个漏洞与直接来自calldata的ABI编码嵌套数组有关。第二个漏洞是在某些继承结构中触发的,可能导致存储器指标被解释为calldata指标。此外,该版本还包括几个小漏洞修复和改进。[2022/5/19 3:28:23]
dForce发布漏洞赏金计划,最高等级奖金额度达25万美元:7月29日,去中心化金融协议dForce发布漏洞赏金计划,主要针对其智能合约和基础设施漏洞,该计划中智能合约相关漏洞分为4个危险等级,奖金金额从1000美元(最低级漏洞)至25万美元(危急漏洞)不等。
dForce是一个安全、灵活、开源的去中心化借贷协议,在全球资金池模式上,增加了超额抵押多货币贷款,允许用户通过超额抵押的方式生成不同币种的稳定币贷款。[2021/7/29 1:22:46]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 代币IseriCoin存在造币漏洞 已被攻击者利用:今日,DVP区块链安全监测系统TronEye检测到一起攻击事件:在2019-04-08 19:23:12至2019-04-09 12:21:30期间,在有多个攻击者针对一款基于Tron的代币(IseriCoin)发起了攻击,黑客利用合约漏洞凭空给自己账户增发了巨量的IseriCoin代币,该代币在kiwidex交易所上架,目前已经暂停交易。
经DVP安全团队分析,该事件是由于IseriCoin合约与已经被攻击过的TronCrush Token合约存在相同漏洞导致,所以攻击者使用了同样的攻击手法,只要攻击者向自己转账即可获得并增发与转账数额等额的代币。
对此建议各位项目方,在进行智能合约开发的时候应注意代码复用的风险,若一份有漏洞的代码在公链生态内被复用,在攻击发生时将影响诸多项目。建议在复用外部代码以及自行研发时需要进行必要的审计。[2019/4/10]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。