Polygon生态项目GenomesDAO遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
Base 公布“Build on Base”赏金获胜方为 Decent AI、Rhinestone 和 Inheritable:3月21日消息,Coinbase Layer 2 网络 Base 公布 ETHDenver BUIDLathon 的“Build on Base” 1.5 万 USDC 赏金获胜方,包括 Decent AI、Rhinestone 和 Inheritable。
其中,Decent AI 创建了一个去中心化的市场,基于相互激励运行 AI 模型。Rhinestone 是一个使用(修改的)Diamond Proxies(ERC-2535)的帐户抽象(ERC-4337)的模块化实现。Inheritable 是一种用于安全、去中心化继承的 Web3 遗嘱解决方案,锚定在 Base 上并由 Weavechain 提供支持。[2023/3/21 13:16:46]
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
元宇宙平台Decentraland推出虚拟地块租赁业务:金色财经报道,元宇宙平台Decentraland宣布推出虚拟地块租赁业务,即虚拟地块LAND所有者可以将其出租给其他用户,租用地块将会被存储在由Decentraland Foundation(链下)和以太坊交易(链上)管理的服务器中,确保LAND以安全和无需信任的方式被租赁。
目前Decentrland已经在其市场平台上线“租赁”(Renting)功能,LAND所有者可以选择租赁天数和价格,到期后即可自动收回。不过,Decentrland提醒在回租之前,被出租的LAND均无法出售,租金将以其原生代币MANA进行支付。(cryptotvplus)[2022/12/7 21:27:51]
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
动态 | Decred现已添加隐私功能:Decred的国际行动负责人和首席布道者Jonathan Zeppettini表示,经过一年的秘密开发,Decred 已经添加隐私功能。(unchainedpodcast)[2019/8/28]
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。