比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

漏洞早已存在數月?Temple DAO遭受攻擊損失230萬美元事件分析_COM

Author:

Time:1900/1/1 0:00:00

北京時間2022年10月11日21:11:11,CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

①?攻擊者調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

美議員:正就SEC主席幫助SBF和FTX鉆法律漏洞一事進行調查:11月11日消息,美國國會議員Tom Emmer發推文表示,“我辦公室收到的舉報稱,SEC主席Gary Gensler正在幫助SBF和FTX鉆法律漏洞,以獲得監管壟斷地位。我們正在調查這件事。”

此前昨日消息,Gensler稱FTX崩盤是加密資產更廣泛趨勢的一部分,并指出了杠桿作用、缺乏披露、不透明,挪用其他人的資金和未來進行交易等問題。其還表示SBF在推動《數字商品消費者保護法》方面的作用破壞了SEC的權威。[2022/11/11 12:51:15]

Compound的一個漏洞或致使8000萬美元的COMP面臨被錯誤分配的風險:9月30日消息,去中心化借貸協議Compound最新引入的升級包含了一個漏洞,會讓一些用戶獲得異常數量的COMP作為獎勵。幾小時前生效的062號提案的目的,是根據治理設定的比率,將COMP分配給流動性供應者和借款人,而不是以前的五五分成模式。在新的升級中,小漏洞也將被修復。但是升級后的Comptroller合約中包含的一個新漏洞錯誤地已經允許一些用戶申領多達16.8萬枚COMP代幣,價值約5000萬美元。Compound Labs創始人Robert Leshner表示,Comptroller的合約地址包含有限數量的COMP,而大部分獎勵位于不同的Reservoir合約地址。因此,影響是有限的,在最壞的情況下,28萬枚COMP代幣會受影響。截至發稿時,這些代幣價值約為8000萬美元。

Comptroller的合約地址現在還剩下112000枚COMP。Leshner稱,沒有管理員控制或社區工具來禁用COMP分配,協議的任何更改都需要一個7天的治理流程才能生效。與此同時,Compound Labs和社區成員正在評估修復COMP分配的可能步驟。(The Block)[2021/9/30 17:17:20]

②攻擊者提取了StaxFrax/TempleLP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

分析 | 加密資產交易平臺常見六類隱患和漏洞:8月8日,國家互聯網金融安全技術專家委員會發布《區塊鏈技術安全概述報告》指出,區塊鏈技術目前的發展方興未艾,大多的技術和應用處于試驗階段。目前,發生的安全事件多集中出現于加密資產相關領域,給用戶造成了較大的經濟損失,其安全問題日益受到行業關注。互金專委會表示,目前看來,加密資產交易平臺主要有六類常見隱患和漏洞,即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。[2018/8/8]

漏洞分析

導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此,攻擊者可以偽造oldStaking合約,任意增加余額。

資金去向

以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。

攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags:COMPCOMOMPSTACOMP價格FOMP幣HyperStake

抹茶交易所
SeeDAO萬字專訪:11個月4次進出鬼門關 SeeDAO積累了什么樣的共識和經驗?_DAO

原文:《SeeDAO萬字專訪:11個月4次低谷,一個DAO如何從停滯中重生?》作者:Jack(0x137),BlockBeats在成立以來的11個月時間里.

1900/1/1 0:00:00
聽a16z講安全:錢包的「非托管」謬論_ATL

原文標題:《WalletSecurity:The「Non-Custodial」Fallacy》原文作者:NassimEddequiouaq、RiyazFaizullabhoy.

1900/1/1 0:00:00
FIFA牽手NFT 世界杯找到新的生錢術_ORA

原標題:《與EA三十年合作分手,FIFA找到了NFT》2022年卡塔爾世界杯將在11月20日正式開幕,隨著距離世界杯的時間越來越近,與之相關的加密板塊也由原來的不溫不火變得燥熱起來了.

1900/1/1 0:00:00
金色早報 | 美國9月CPI同比上漲8.2% 連續7個月破8_區塊鏈

頭條 ▌美國9月CPI同比上漲8.2%,連續7個月破810月13日美國中期選舉前最后一份CPI數據出爐,9月CPI同比上漲8.2%,預估為8.1%,前值為8.3%;連續7個月位于8%以上.

1900/1/1 0:00:00
速覽Arbitrum首屆波哥大黑客松獲獎項目_BIT

原文作者:Arbitrum原文編譯:angelilu,ForesightNews在哥倫比亞波哥大舉行的第一屆Arbitrum黑客馬拉松已經正式落下帷幕.

1900/1/1 0:00:00
EVM 深入探討 Part 2_0X0

點擊閱讀:EVM深入探討Part1 導語 在第1部分中,我們探討了EVM如何通過被調用的合約函數知道需要運行哪個字節碼,其中我們了解了調用棧、calldata、函數簽名和EVM操作碼指令.

1900/1/1 0:00:00
ads