漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_COM

北京時間2022年10月11日21:11:11，CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

①?攻擊者調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

美議員：正就SEC主席幫助SBF和FTX鉆法律漏洞一事進行調查:11月11日消息，美國國會議員Tom Emmer發推文表示，“我辦公室收到的舉報稱，SEC主席Gary Gensler正在幫助SBF和FTX鉆法律漏洞，以獲得監管壟斷地位。我們正在調查這件事。”

此前昨日消息，Gensler稱FTX崩盤是加密資產更廣泛趨勢的一部分，并指出了杠桿作用、缺乏披露、不透明，挪用其他人的資金和未來進行交易等問題。其還表示SBF在推動《數字商品消費者保護法》方面的作用破壞了SEC的權威。[2022/11/11 12:51:15]

Compound的一個漏洞或致使8000萬美元的COMP面臨被錯誤分配的風險:9月30日消息，去中心化借貸協議Compound最新引入的升級包含了一個漏洞，會讓一些用戶獲得異常數量的COMP作為獎勵。幾小時前生效的062號提案的目的，是根據治理設定的比率，將COMP分配給流動性供應者和借款人，而不是以前的五五分成模式。在新的升級中，小漏洞也將被修復。但是升級后的Comptroller合約中包含的一個新漏洞錯誤地已經允許一些用戶申領多達16.8萬枚COMP代幣，價值約5000萬美元。Compound Labs創始人Robert Leshner表示，Comptroller的合約地址包含有限數量的COMP，而大部分獎勵位于不同的Reservoir合約地址。因此，影響是有限的，在最壞的情況下，28萬枚COMP代幣會受影響。截至發稿時，這些代幣價值約為8000萬美元。

Comptroller的合約地址現在還剩下112000枚COMP。Leshner稱，沒有管理員控制或社區工具來禁用COMP分配，協議的任何更改都需要一個7天的治理流程才能生效。與此同時，Compound Labs和社區成員正在評估修復COMP分配的可能步驟。（The Block）[2021/9/30 17:17:20]

②攻擊者提取了StaxFrax/TempleLP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

分析 | 加密資產交易平臺常見六類隱患和漏洞:8月8日，國家互聯網金融安全技術專家委員會發布《區塊鏈技術安全概述報告》指出，區塊鏈技術目前的發展方興未艾，大多的技術和應用處于試驗階段。目前，發生的安全事件多集中出現于加密資產相關領域，給用戶造成了較大的經濟損失，其安全問題日益受到行業關注。互金專委會表示，目前看來，加密資產交易平臺主要有六類常見隱患和漏洞，即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。[2018/8/8]

漏洞分析

導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：COMPCOMOMPSTACOMP價格FOMP幣HyperStake

抹茶交易所