北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
安全团队:NFT项目CryptoNinja World合约存在漏洞:金色财经报道,区块链安全团队成员Max在社交媒体上表示,NFT项目CryptoNinja World的合约(合约地址:0xd93704f2a0eA3Db109dE194D4a51ff3e5e77CEfd)存在漏洞,目前任何人都可以销毁该项目的NFT。请用户提高警惕。[2023/2/22 12:22:52]
Numen:公链Aptos的VM虚拟机中存在的一个高危级别安全漏洞:金色财经报道,新加坡安全公司Numen Cyber Technology检测到Aptos公链的VM虚拟机中存在的一个高危级别安全漏洞,攻击者利用此漏洞可以在Aptos虚拟机中执行攻击者精心构造的特定代码,导致控制公链节点或使其瘫痪,Aptos Labs官方已经证实此漏洞的存在,Numen Cyber Labs已协助官方修复该安全漏洞。[2022/10/10 10:29:17]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
声音 | 交易员:Dx.Exchange有严重的安全漏洞 很容易被定罪:据CCN消息,数字货币交易所DX.Exchange近日表示,将提供基于10家纳斯达克上市公司股票的数字代币。一位在线交易员表示,该平台泄漏了一些敏感的财务数据,存在严重安全漏洞,可能会“非常容易被定罪”。[2019/1/10]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。