以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

漏洞早已存在數月?Temple DAO遭受攻擊損失230萬美元事件分析_STA

Author:

Time:1900/1/1 0:00:00

北京時間2022年10月11日21:11:11,CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

① 攻擊者(0x2df9...)調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

多鏈借貸協議FilDA發布漏洞利用聲明:已造成約70萬美元的損失:4月23日消息,多鏈借貸協議FilDA發布漏洞利用聲明稱,今天早些時候在亦來云智能鏈(ESC)和 REI 網絡上遭到攻擊,已造成約 70 萬美元的損失。沒有其他 FilDA 部署受到影響。已識別漏洞并隔離攻擊媒介。ESC 和 Rei FilDA 平臺已經暫停,只有在對當前情況進行徹底審查后才會恢復。將與CEX、安全公司等多方進行合作分析鏈上活動,以幫助跟蹤和監控這些地址。將要求執法部門追究此案,并鼓勵受影響的用戶也聯系當地執法部門,以便他們了解盜竊事件。[2023/4/23 14:22:14]

多鏈錢包BitKeep疑似出現安全漏洞,團隊正在進行技術排查:12月26日消息,Web3多鏈錢包BitKeep疑似出現安全漏洞,多名用戶在其官方Telegarm群進行反饋資金被盜。BitKeep團隊表示正在緊急排查原因,如因平臺原因導致的資產損失,BitKeep安全基金將進行全額賠付。[2022/12/26 22:07:57]

② 攻擊者提取了Stax Frax/Temple LP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解,4月22日13時左右,BEC出現異常交易。慢霧安全團隊第一時間分析發現,BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞,攻擊者可傳入很大的value數值,使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析,慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0,及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞,慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]

漏洞分析

導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此,攻擊者可以偽造oldStaking合約,任意增加余額。

資金去向

以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。

CertiK中文社區

企業專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags:STASTAKTAKIStakingpstake幣價格stake幣價格今日行情staking幣崩盤了嗎staking ETH

以太坊交易所
探索:區塊鏈視頻流媒體平臺_區塊鏈

如今,幾乎所有人都在關注視頻流媒體,疫情加速了全球流媒體平臺的發展。Netflix、Disney+和HBO Max等熱門視頻流媒體平臺受益于該行業的快速增長.

1900/1/1 0:00:00
Punks頭像風靡全網 NA(Nirvana)Chain如何賦能NFT賽場_NFT

如果說DeFi的出現啟動了久違的牛市,那么NFT的興起則將上半年市場的火爆行情得以延續。對于加密市場來說,2021年的后半年將毫無疑問屬于NFT.

1900/1/1 0:00:00
Be VEE:韓國藝術家的 Free Mint 與 NFT 流量變現嘗試_VEE

作者 | Carol (Twitter: @CC99Carol)編輯 | Colin Wu 摘要: 近期,新興 NFT 項目 Be VEE 逐漸展露頭角.

1900/1/1 0:00:00
SushiSwap 新 CEO 對近期傳聞的回應_SHI

Jared Gray 對近期針對其詐騙等行為的六項指控逐一進行了反駁。撰文:Jared Gary編譯:Babywhale,Foresight News兩天前,推特用戶 YannickCrypto.

1900/1/1 0:00:00
評估 NFT 當前和未來的應用場景_NFT

在你心目中,NFT 代表了什么?買 NFT 的目的是什么?一些人可能是為了新奇或者當作收藏,另一些人可能是為了 NFT 的某種功能屬性,比如用在鏈游中的道具.

1900/1/1 0:00:00
ABGA 執行總裁Kevin Shao:打造一款好游戲需要什么?_區塊鏈

GameFi遭遇熊市重創,玩家常將其視為又一次“搶錢”機會這種敘述必須改變,它開始的方式是從一開始就設置適當的敘述并非每個游戲都需要是區塊鏈游戲.

1900/1/1 0:00:00
ads