北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Web3媒体Rug Radio原生Token RUG已正式上线:2月10日,据官方消息,Web3 媒体 Rug Radio 宣布其原生 Token RUG 正式上线,持有 Genesis NFT 的用户已可领取 RUG Token。[2022/2/10 9:42:05]
Mask Network支持在推特使用DODO DEX、Augur等产品:去中心化交易平台DODO发推称,在推特可以直接使用DODO DEX交易任何代币,这一功能由Mask Network实现。此外,预测市场Augur、以太坊无损彩票项目PoolTogether、DeFi储蓄奖励池GoodGhosting、Layer 2 DEX QuickSwap也表示即将/已经支持在推特使用其服务或者购买其代币/产品。[2021/8/14 1:55:09]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
Curve计划为TUSD Metapool添加gauge以提高流动性:3月11日消息,根据Curve Finance官方论坛信息,Curve已发起新提案,计划为稳定币TUSD Metapool添加gauge以提供更高的流动性。官方表示,增加TUSD还将为Curve协议带来费用和激励。[2021/3/11 18:35:37]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。