STA:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析_AKI

北京时间2022年10月11日21:11:11，CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

①?攻击者调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

安全公司：Fei Protocol重大漏洞，可能造成6400-8000万美金的损失:4月30日，据CertiK技术团队消息，2022年4月30日，Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失并公开向攻击者提供1000万美元以归还用户的资金，并保证不事后进行追问。

目前，攻击者已经向Tornado Cash发送了5400个ETH（约15,298,900美元），不过他们的钱包里仍持有64,245,245.43美元。

这次攻击已经耗尽了Rari币池的资金，而Fei币池（Tribe，Curve）仍然没有受到影响。一位Rari团队成员一直在回答问题，并表示 \"Fuse中的一些借贷人可能受到影响\"，以及 \"Fuse池中的PCV可能有风险\"。该Rari团队成员还证实，只有可借贷的资产是易受攻击的，不过目前已好转。

Fei Protocol在本月初曾遇到一些问题：他们通过漏洞赏金计划发现了一个bug，导致他们在修复漏洞的同时关闭了rebate program。当时他们本能够在漏洞发生之前阻止，不过情况并非如此尽如人意。

截至目前，Fei Protocol团队还没有正式宣布他们的调查结果。[2022/4/30 2:42:28]

Filecoin疑似出现双花漏洞:晚间有社区用户反馈，在交易所内充入FIL，双花操作后再提现，依然可以再收到一笔同样数量的FIL。据金色财经核实，目前币安显示“钱包维护中，充值暂停”，OKEX、抹茶、欧易也已关闭FIL的充值功能。类似问题似乎在多个交易所均有出现，有分析认为是Filecoin主网问题。金色财经将持续跟进报道。[2021/3/19 18:58:32]

②攻击者提取了StaxFrax/TempleLP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

Warp.Finance平台宣布重启 修复闪电贷漏洞并转向使用Chainlink预言机:据官方消息，此前遭受闪电贷攻击的DeFi项目Warp.Finance发文宣布，Warp.Finance平台已重新启动，并在协议已有的安全制度之上增加了额外的安全措施。官方表示，已进行安全审计并对此前闪电贷攻击漏洞进行了修复。与此同时，官方已将Warp Finance价格预言机从Uniswap预言机转换为Chainlink预言机。此前2020年12月消息，Warp.Finance协议在发布后遭受闪电贷攻击，随后官方追回损失的585万美元资金。[2021/1/15 16:13:54]

漏洞分析

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签：STASTAKTAKIAKISTARLNKThunderstaketaki币币情AKIRA

币赢热门资讯