北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
TRON多重签名漏洞使超过5亿美元的资产面临风险,目前该漏洞已被披露并修复:金色财经报道,区块链安全公司 DWallet Labs 发现 TRON 多重签名账户中的一个零日漏洞使超过 5 亿美元的数字资产面临风险,此漏洞允许多重签名帐户的任何签名者(具有任何权重)完全克服 TRON 提供的多重签名安全性,无论帐户中定义的阈值和签名者数量如何。目前该漏洞已被披露并修复,因此现在没有用户资产处于风险之中。[2023/5/30 11:48:33]
以太坊存储层协议Arcana Network启动Alpha测试网,并推出2.5万美元的漏洞赏金计划:11月18日消息,以太坊上去中心化存储与数据隐私平台Arcana Network启动面向开发人员的Alpha测试网Quantum Descent,包含身份和访问管理、去中心化存储、端到端加密、非托管密钥管理等功能,同时还将推出2.5万美元的漏洞赏金计划,奖励将根据错误的严重程度以及Arcana团队分配给错误的优先级进行分级。其中测试网将于IST时间2021年11月17日上线,漏洞赏金计划将于IST时间2021年11月17日至2021年12月17日上线。
此前报道,10月份Arcana Network完成230万美元融资,Republic Crypto与Woodstock Fund领投。[2021/11/18 22:01:59]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
声音 | Coinbase: Firefox漏洞针对员工,用户不受影响:据cryptoglobe报道,Coinbase针对Firefox漏洞事件回应称,Firefox漏洞攻击是针对员工的,交易所和客户的账户都没有受到影响。据此前消息,Mozilla Firefox警告黑客在其Firefox浏览器中利用关键漏洞攻击用户,其中,加密货币持有者风险最大。考虑到技术原因,主要的加密货币交易所Coinbase被直接定位为易攻击目标。[2019/6/21]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。