漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_TEM

北京時間2022年10月11日21:11:11，CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

① 攻擊者（0x2df9...）調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

zkSync在Code4rena平臺啟動漏洞賞金計劃:10月29日消息，以太坊Layer2擴容解決方案zkSync宣布在Code4rena平臺啟動漏洞賞金計劃，總獎金池達165,000美元。活動將于北京時間10月29日4時開啟，至11月10日4時結束，本次活動旨在提高網絡安全性，使zkSync2.0成為更多開發人員的選擇。[2022/10/29 11:55:24]

藍籌NFT抵押借貸協議BendDAO推出最高100萬美金漏洞賞金:4月22日消息，點對池藍籌NFT抵押借貸協議BendDAO在Web3漏洞賞金平臺Immunefi上推出漏洞賞金計劃，用于獎勵智能合約、dApp和網站潛在漏洞改進。漏洞賞金計劃可進一步加強協議安全性和用戶資金安全，賞金最高可達100萬美元。BendDAO鎖倉價值目前已超過1.7萬ETH，支持6種藍籌NFT項目抵押NFT借ETH流動性。[2022/4/22 14:41:28]

② 攻擊者提取了Stax Frax/Temple LP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

動態 | 比特幣嚴重漏洞得到修補:據Cryptoticker.io消息，近日，比特幣運營方修補了一個嚴重漏洞，根據補丁發布說明，開發人員修復了Core版本0.16.2和最近的0.16.3版本。據悉，該漏洞允許插入兩次相同代幣來創建問題區塊，從而使接收它的任何客戶端的軟件崩潰。[2018/9/20]

漏洞分析

導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

CertiK中文社區

企業專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags：STASTAKDAOTEMstader幣怎么樣StakeNethdao幣是香港交易所的平臺幣嗎Sleep Ecosystem

中幣