北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Vyper编译器发布漏洞事件分析报告,漏洞已于v0.3.1修复并测试:8月6日消息,以太坊编程语言Vyper发布有关上周漏洞事件的事后分析报告:7月30日由于Vyper编译器中的潜在漏洞,多个Curve流动性池被利用,该漏洞本身是一个未正确实施的重入防护,受影响的Vype版本为v0.2.15、v0.2.16、v0.3.0。
Vyper称该漏洞已于v0.3.1修复并测试,v0.3.1及更高版本是安全的。然而,当时并没有意识到对实时合约的影响,也没有通知下游协议。未来将加强使用Vyper协议更严格的双向反馈并推出相关错误赏金计划和竞赛。[2023/8/6 21:28:18]
Cobo区块链安全团队公开0xDAO潜在盗币漏洞发现过程及技术细节解析:4月2日消息,0xDAO v2原计划上线前的几个小时,Cobo区块链安全团队启动对该项目的DaaS投前例行安全评估工作,随后在github开源的项目代码中发现了一个严重的安全漏洞。经评估,如果 0xDAO v2此时继续上线,该漏洞预计会造成数亿美金的资产损失。Cobo区块链安全团队立即启动应急预案,快速通过多个渠道联系到0xDAO项目方,提交该漏洞的完整攻击流程,紧急叫停了项目上线,随后协助0xDAO项目方对该漏洞进行了修复。
日前,0xDAO官方发布推文向Cobo区块链安全团队表示了感谢,并且表示会按照严重漏洞级别给予Cobo区块链安全团队漏洞赏金奖励。[2022/4/2 14:00:31]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
Lido Finance 通过赏金计划发现一漏洞,已采取短期补救措施:10月8日消息,质押流动性解决方案 Lido Finance 通过 Lido 漏洞赏金计划发现了一个漏洞,该漏洞能被列入白名单的节点运营商利用,以窃取一小部分用户资金。漏洞报告时大约有 2 万枚 ETH 暴露在风险之中,目前团队已经采取了短期的补救措施,同时正在讨论和研究长期的解决方案。本次报告漏洞的白帽子是 StakeWise 的创始人 Dmitri Tsumak,预计其将获得漏洞赏金计划的最高赏金额 10 万美元。[2021/10/8 20:12:39]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
标签:STASTAKDAOXDAObitstamp交易所提现pstake币能涨到多少美元facedao币价格xdao币公幕价格
作者: Kong据慢雾区情报,11 月 4 日,一个 BNB Chain 上地址凭空铸造了超 10 亿美元的 pGALA 代币,并通过 PancakeSwap 售出获利.
1900/1/1 0:00:00原文:《Is Alameda Research Insolvent?》by Dirty Bubble Media编译:FelixSam Bankman-Fried,更为人所知的是 SBF.
1900/1/1 0:00:00▌观点:谷歌正致力于加密货币领域金色财经报道,谷歌与Coinbase的合作表明谷歌正致力于加密货币领域。加密货币和科技巨头之间的合作被称为对区块链的肯定.
1900/1/1 0:00:00近期,加密资产托管服务商平台HyperBC关注到市场中频繁发生资产被盗事件,据Etherscan数据显示.
1900/1/1 0:00:00我不知道“CZ”的手法是否会载入商业史或金融史,但至少会载入加密史,一般人可能看不懂,但如果是trader,一定会大受震撼。十年后再看今天,不仅会发现是比电影还精彩的商战,而且可能会意义非凡.
1900/1/1 0:00:00吴说作者 | @defioasis本期编辑 | Colin Wu近日 Twitterscan 顶住压力开启了其 .nft 的注册和铸造.
1900/1/1 0:00:00