火星链 火星链
Ctrl+D收藏火星链

STA:漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

Liquid Network技术出现漏洞 可致上百万美元BTC被盗:Summa One联合创始人James Prestwich发现Blockstream的比特币侧链 Liquid Network 中至今仍存在技术漏洞,由于哈希时间锁不一致,网络中的重要账户会受到技术漏洞影响,可导致上百万美元BTC被盗。只要3位密钥持有者中的2位同意转账,公司员工即可通过紧急恢复程序进行提币。Blockstream已经开始寻找新的替代方式并进行开发。据官方表示,过去18个月内,尚未出现用户账号被盗迹象。[2020/6/30]

动态 | LTC已紧急修复严重漏洞:据ambcrypto报道,LTC核心团队最近推出了一项紧急更新,修复了代码中的DoS漏洞。并提示用户尽快升级到该版本,以免漏洞被利用。此前,该漏洞可被矿工利用重复发送代码。由于LTC和BTC使用了类似的代码,因此在比特币区块链也发现了这个问题。比特币核心团队通知用户0.16之前的版本与0.16之后创建的钱包不兼容。但是,更新之前已创建的现有钱包不会受到影响。[2018/9/21]

②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。

金色财经独家采访:Zilliqa CEO Xinshu Dong谈EOS漏洞看法:今日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。对此金色财经独家采访了Zilliqa CEO Xinshu Dong,Zilliqa CEO 表示:360公有链出现安全漏洞大家都很关心,因为区块链本身的不可逆性和多中心化。一旦出现漏洞,中心化的系统可以快速修复,但是多中心化的系统需要投票分叉解决,经常错过最好的修复时机。但这次也是给整个区块链领域一个很好的提醒。区块链安全是多方面的,包括协议层的抗攻击,智能合约语言层的可验证,当然也包括对智能合约运行时的基本的隔离。其实这些都是在安全研究领域众所周知的机制,但是需要区块链项目都把这些都设计好、实现好。面对这样的挑战,大家需要共同努力。[2018/5/29]

漏洞分析

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此,攻击者可以伪造oldStaking合约,任意增加余额。

资金去向

以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。

写在最后

自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签:STASTAK区块链KINGstarl币团队跑路了吗STAKD区块链技术通俗讲解知乎$KING币

Gate交易所热门资讯
WEB:Web3 入坑第一站 加密货币法币出入金商业

阐述区分出入金项目的主要因素,并梳理七类现有出入金项目。撰文:Steve@ForesightVentures用法定货币购买加密货币是大多数用户进入Web3世界的第一站,无论是通过中心化的交易所还.

1900/1/1 0:00:00
PCR:OPCraft:首个建立在Op Stack上的应用链游戏

OPCraft是一个像素沙盒游戏,该游戏建立在OPStack上,这是Optimism?L2的创建者在2022年10月首次推出的模块化系统,旨在“建立自己的区块链”.

1900/1/1 0:00:00
以太坊:以太坊 MEV 黑暗森林:从 Gas 战争到 PBS

撰文:pseudotheos编译:DeFi之道Domothy和我合著了这篇文章。PBS(区块提议者-构建者分离)仍然是一个活跃的研究领域,但这篇综合性文章旨在汇总迄今为止的研究进展以及研究方向.

1900/1/1 0:00:00
虚拟资产:快评香港数字资产发展政策宣言

香港特别行政区财经事务及库务局于今日正式发布《有关香港虚拟资产发展的政策宣言》,就在香港发展蓬勃的虚拟资产行业和生态圈,阐明政府的政策立场和方针.

1900/1/1 0:00:00
GAS:简析账户抽象和EIP-4337:未来智能合约钱包落地情况如何?

最近,账户抽象以及EIP-4337在开发者圈子里很火。账户抽象指的是未来钱包签名机制概念化。目前,主流钱包采用的签名机制是CDSA,而未来钱包的签名机制可以多样化:采用多签、其他的加密算法以及Z.

1900/1/1 0:00:00
COI:旗舰基金市值半年蒸发40%a16z:在最糟糕的时候全力以赴

AndreessenHorowitz合伙人?ChrisDixon?表示:“目光要放长远”。随着去年加密货币价格飙升,没有任何风投比AndreessenHorowitz更看好该行业.

1900/1/1 0:00:00