北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
安全公司:Fastjson全版本远程代码执行漏洞曝光:据降维安全实验室报道,Fastjson <=1.2.68全版本存在反序列化漏洞,利用该漏洞,黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险,降维安全实验室建议使用了该java库的相关交易所及企业及时将Fastjson升级至1.2.68版本、打开SafeMode、并持续关注fastjson官网等待1.2.69版本的更新并立即升级以防止被攻击。更多详细细节和缓解措施请联系降维安全实验室。[2020/5/28]
动态 | GateHub的潜在安全漏洞可能导致用户损失2300万XRP:据AMBCrypto报道,2K/DENMARK公司创意总监Thomas Silkj?概述了GateHub的一个“潜在安全漏洞”,该漏洞可能导致用户损失约2300万XRP。GateHub是安全存储/交易XRP的钱包和网关。Silkj?写道,6月1日,在两个钱包之间的一笔约201000 XRP的交易中发现了这一漏洞。[2019/6/6]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | EOS五周内解决42个漏洞问题 奖励黑客近35万美元:据Daily Hodl报道,自6月初EOS宣布了漏洞奖励计划以来,已经有42个EOS网络漏洞被修复,参与黑客已获得34.8万美元奖励。EOS对重大漏洞的奖励从5000到1万美元不等。[2018/7/10]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。