北京時間2022年10月11日21:11:11,CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。
攻擊步驟
①?攻擊者調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。
美議員:正就SEC主席幫助SBF和FTX鉆法律漏洞一事進行調查:11月11日消息,美國國會議員Tom Emmer發推文表示,“我辦公室收到的舉報稱,SEC主席Gary Gensler正在幫助SBF和FTX鉆法律漏洞,以獲得監管壟斷地位。我們正在調查這件事。”
此前昨日消息,Gensler稱FTX崩盤是加密資產更廣泛趨勢的一部分,并指出了杠桿作用、缺乏披露、不透明,挪用其他人的資金和未來進行交易等問題。其還表示SBF在推動《數字商品消費者保護法》方面的作用破壞了SEC的權威。[2022/11/11 12:51:15]
Compound的一個漏洞或致使8000萬美元的COMP面臨被錯誤分配的風險:9月30日消息,去中心化借貸協議Compound最新引入的升級包含了一個漏洞,會讓一些用戶獲得異常數量的COMP作為獎勵。幾小時前生效的062號提案的目的,是根據治理設定的比率,將COMP分配給流動性供應者和借款人,而不是以前的五五分成模式。在新的升級中,小漏洞也將被修復。但是升級后的Comptroller合約中包含的一個新漏洞錯誤地已經允許一些用戶申領多達16.8萬枚COMP代幣,價值約5000萬美元。Compound Labs創始人Robert Leshner表示,Comptroller的合約地址包含有限數量的COMP,而大部分獎勵位于不同的Reservoir合約地址。因此,影響是有限的,在最壞的情況下,28萬枚COMP代幣會受影響。截至發稿時,這些代幣價值約為8000萬美元。
Comptroller的合約地址現在還剩下112000枚COMP。Leshner稱,沒有管理員控制或社區工具來禁用COMP分配,協議的任何更改都需要一個7天的治理流程才能生效。與此同時,Compound Labs和社區成員正在評估修復COMP分配的可能步驟。(The Block)[2021/9/30 17:17:20]
②攻擊者提取了StaxFrax/TempleLP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。
分析 | 加密資產交易平臺常見六類隱患和漏洞:8月8日,國家互聯網金融安全技術專家委員會發布《區塊鏈技術安全概述報告》指出,區塊鏈技術目前的發展方興未艾,大多的技術和應用處于試驗階段。目前,發生的安全事件多集中出現于加密資產相關領域,給用戶造成了較大的經濟損失,其安全問題日益受到行業關注。互金專委會表示,目前看來,加密資產交易平臺主要有六類常見隱患和漏洞,即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。[2018/8/8]
漏洞分析
導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。
因此,攻擊者可以偽造oldStaking合約,任意增加余額。
資金去向
以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。
寫在最后
自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
原文:《SeeDAO萬字專訪:11個月4次低谷,一個DAO如何從停滯中重生?》作者:Jack(0x137),BlockBeats在成立以來的11個月時間里.
1900/1/1 0:00:00原文標題:《WalletSecurity:The「Non-Custodial」Fallacy》原文作者:NassimEddequiouaq、RiyazFaizullabhoy.
1900/1/1 0:00:00原標題:《與EA三十年合作分手,FIFA找到了NFT》2022年卡塔爾世界杯將在11月20日正式開幕,隨著距離世界杯的時間越來越近,與之相關的加密板塊也由原來的不溫不火變得燥熱起來了.
1900/1/1 0:00:00頭條 ▌美國9月CPI同比上漲8.2%,連續7個月破810月13日美國中期選舉前最后一份CPI數據出爐,9月CPI同比上漲8.2%,預估為8.1%,前值為8.3%;連續7個月位于8%以上.
1900/1/1 0:00:00原文作者:Arbitrum原文編譯:angelilu,ForesightNews在哥倫比亞波哥大舉行的第一屆Arbitrum黑客馬拉松已經正式落下帷幕.
1900/1/1 0:00:00點擊閱讀:EVM深入探討Part1 導語 在第1部分中,我們探討了EVM如何通過被調用的合約函數知道需要運行哪個字節碼,其中我們了解了調用棧、calldata、函數簽名和EVM操作碼指令.
1900/1/1 0:00:00