STA:安全团队:GenomesDAO遭攻击因合约可被任意重复初始化设置关键参数

Polygon生态项目GenomesDAO遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下:

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

安全团队:警惕推特上虚假的Layer Zero空投宣传:金色财经报道,据CertiK官方推特发布消息称,警惕推特上虚假的Layer Zero空投宣传。请用户切勿与相关链接交互,该网站会连接到一个已知的自动盗币地址。[2023/7/16 10:58:26]

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。

安全团队:DHE项目已被确认为Rug Pull跑路项目:金色财经消息,据CertiK安全团队监测,DHE项目已被确认为Rug Pull跑路项目。

北京时间2022年6月21日凌晨6:27:17,DHE 代币价格下跌超过91 %。目前损失总额约为14.2万美元。[2022/6/21 4:41:46]

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

安全团队:SeaHorseArmyNFT的discord遭黑客入侵:5月9日消息,BlockSec告警系统于5月9日上午10点20分发现SeaHorseArmyNFT的discord被黑客入侵,攻击者正在正在扩散虚假的提前mint链接,请投资者不要点击虚假mint链接。[2022/5/9 3:00:05]

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:973ms