STA:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析

北京时间2022年10月11日21:11:11，CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

①?攻击者调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

Liquid Network技术出现漏洞 可致上百万美元BTC被盗:Summa One联合创始人James Prestwich发现Blockstream的比特币侧链 Liquid Network 中至今仍存在技术漏洞，由于哈希时间锁不一致，网络中的重要账户会受到技术漏洞影响，可导致上百万美元BTC被盗。只要3位密钥持有者中的2位同意转账，公司员工即可通过紧急恢复程序进行提币。Blockstream已经开始寻找新的替代方式并进行开发。据官方表示，过去18个月内，尚未出现用户账号被盗迹象。[2020/6/30]

动态 | LTC已紧急修复严重漏洞:据ambcrypto报道，LTC核心团队最近推出了一项紧急更新，修复了代码中的DoS漏洞。并提示用户尽快升级到该版本，以免漏洞被利用。此前，该漏洞可被矿工利用重复发送代码。由于LTC和BTC使用了类似的代码，因此在比特币区块链也发现了这个问题。比特币核心团队通知用户0.16之前的版本与0.16之后创建的钱包不兼容。但是，更新之前已创建的现有钱包不会受到影响。[2018/9/21]

②攻击者提取了StaxFrax/TempleLP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

金色财经独家采访：Zilliqa CEO Xinshu Dong谈EOS漏洞看法:今日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。对此金色财经独家采访了Zilliqa CEO Xinshu Dong，Zilliqa CEO 表示：360公有链出现安全漏洞大家都很关心，因为区块链本身的不可逆性和多中心化。一旦出现漏洞，中心化的系统可以快速修复，但是多中心化的系统需要投票分叉解决，经常错过最好的修复时机。但这次也是给整个区块链领域一个很好的提醒。区块链安全是多方面的，包括协议层的抗攻击，智能合约语言层的可验证，当然也包括对智能合约运行时的基本的隔离。其实这些都是在安全研究领域众所周知的机制，但是需要区块链项目都把这些都设计好、实现好。面对这样的挑战，大家需要共同努力。[2018/5/29]

漏洞分析

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签：STASTAK区块链KINGstarl币团队跑路了吗STAKD区块链技术通俗讲解知乎$KING币

Gate交易所热门资讯