北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Osmosis:已确定BUG并已编写漏洞补丁:6月8日消息,Cosmos 生态 Osmosis 区块链针对此前出现严重漏洞事件更新最新进展,已经确定 BUG 并编写了漏洞补丁,使用验证器重启前还需要进行更多的测试。完整的 BUG 报告和行动计划将在未来几天内对网络升级进行彻底的端到端测试之后更新。
此前报道,今日 Cosmos 生态 Osmosis 区块链网络已于区块高度 #4713064 处停止出块,官方确认出现严重漏洞,但流动资金池并未完全耗尽,开发人员正在修复漏洞,损失规模约为 500 万美元左右。[2022/6/8 4:10:56]
Haven Protocol:漏洞已全部修复 将进行硬分叉:金色财经报道,Haven Protocol在官方推特发布了状态更新。Haven Protocol表示,在社区决定回滚至886575区块后,现在正在准备硬分叉流程。硬分叉部署流程包括:回滚、漏洞利用补丁以及更新和审计后的代码库。漏洞已经全部修复,目前第三方开发人员正在进行全面审计。此外,Haven Protocol已开始与矿池进行对话,以计划如何对他们及矿工的收入损失进行补偿,补偿将来自治理基金。Haven Protocol正在与交易所合作,以确定交易所的内部钱包余额是否会出现任何差异。硬分叉过程完成后,交易所可以更新和重新开放XHV存取款。在硬分叉过程完成之前,不要进行任何链上XHV交易,不要进行场外交易。在交易所买卖不应受到影响。[2021/7/13 0:46:24]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
以太坊2.0开发者推出初始0阶段新漏洞赏金计划:以太坊2.0项目负责人Danny Ryan今日早些时候宣布,一个专门针对以太坊2.0初始0阶段启动的漏洞赏金计划已经启动。该计划详细介绍了第0阶段规范以及特定的软件客户端,例如Prysm,Lighthouse和Teku。 官方网站表示:“我们呼吁社区和所有漏洞赏金猎人帮助确定协议和客户端中的错误。”(The Block)[2020/10/9]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。