木星链 木星链
Ctrl+D收藏木星链

STA:漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

Terraform Labs旗下合成资产协议Mirror合约长期存在漏洞,7个月内损失或超3000万美元:5月28日消息,Terra研究论坛成员FatMan在社交媒体上发文表示,由Terraform Labs开发的合成资产协议Mirror合约长期存在漏洞。自2021年10月起,攻击者在7个月的时间内利用该漏洞多次进行攻击,最高单笔获利超400万美元(使用1万美元获利430万美元),均未被Terraform Labs或Mirror团队发现。

截止漏洞修复时,攻击者利用该漏洞的总获利可能已超3000万美元。FatMan表示,该漏洞于11天前被Mirror论坛成员发现并提出质疑,此后该漏洞被修复,但Mirror团队并未对此事进行任何声明。[2022/5/28 3:46:47]

Uniswap创始人回应VETH被盗事件,漏洞出自VETH合约而非Uniswap:7月1日消息,Uniswap创始人HaydenAdams今日在推特上回应「有人在Uniswap上用200美元ETH成功盗取价值90万美元VETH」称,这是一个批准重写(approveoverride)错误,如果有人支付少量VETH费用,则任何人都可以批准自己进行无限制转移。

本次被盗事件,黑客从VETH的ERC20合约中盗取了所有VETH代币而不是从Uniswap中取走。此后,加密货币数据公司CoinGecko研究分析员DarylLau也回复表示,本次事件是VETH代币逻辑错误且未正确使用ERC20代币合约导致[2020/7/1]

② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。

动态 | 交易者发现 Robinhood无限杠杆漏洞,可无限借入资金进行保证金交易:根据彭博社报道,有用户在 Reddit WallStreetBets 论坛发贴曝光 Robinhood 的无限杠杆漏洞,利用该漏洞可将账户余额无限放大,在交易者晒出的一系列成绩单中,一名交易者声称将 4000 美金放大到了 120 万美金。该漏洞主要是由Robinhood Gold」服务导致的,该服务针对积极交易者,只需每月固定交 5 美金就可从 Robinhood 手中借入账户中现金余额的一倍进行保证金交易,交易者可使用从 Robinhood 借来的钱出售受保看涨期权,然而,Robinhood 会将这些看涨期权的价值叠加到用户自有资金中时就会出现问题,这意味着用户借入的资金越多,Robinhood 将会借出更多的钱用于未来的交易。Robinhood 发言人 Lavinia Chirico 在一封电子邮件向彭博社回应称,Robinhood已意识到这些情况,并已与这些客户取得直接联系。乔治敦大学法学教授 Donald Langevoort 向彭博社表示,使用所谓的无限杠杆增大注可能会面临金钱和证券欺诈罪。而根据基本法,交易者可能需要还钱。[2019/11/6]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此,攻击者可以伪造oldStaking合约,任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。

攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

标签:STAETHHOODHOOVSTAeth钱包地址永久删除HOODIE币hook币未来能涨到多少

欧易okex官网热门资讯
比特币:Glassnode数据洞察:暴风雨前的平静

与高度波动的股票、信贷和外汇市场形成鲜明对比的是,最近?几周加密货币市场一直保持非常稳定。随着比特币在许多传统指标上得到支撑,我们在评估这里是否会形成真正的底部.

1900/1/1 0:00:00
WEB:假如微信公众号能Web3 你想试试吗?

撰文:汤圆  蜂巢财经10 月 27 日,特斯拉 CEO 埃隆·马斯克(Elon Musk)以 440 亿美元收购了社交平台推特(Twitter).

1900/1/1 0:00:00
ZKP:Web3 时代的 ZKP 如何迈向主流?

原文标题:《ZKPs in Web3: Now and the Future》撰文:Mohamed Fouda、Qiao Wang零知识技术(ZK)是一种推动技术,不仅将改变 Web3.

1900/1/1 0:00:00
BSP:金色观察 | 不制裁Tornado 如何打击Tornado上的

文/JP Koning,Moneyness美国当局不应该制裁代码,而应针对人这一中间角色。 美国政府是否有比其最终采用的方式更好的办法,打击Tornado Cash上的犯罪活.

1900/1/1 0:00:00
TOKEN:一文浅谈理想的代币分配模式

原文标题:Token Cap Table Allocation原文作者:Vader Research原文编译:Leo,BlockBeats token 经济学通常与其饼状图分配相关.

1900/1/1 0:00:00
以太坊:金色观察 | 波哥大DEVCON VI正举行 这里有份日程指南

由以太坊基金会主办的、2022年以太坊社区最期待的盛事、第6届以太坊开发者大会DEVCON VI于2022年10月11日至14日在哥伦比亚首都波哥大举行.

1900/1/1 0:00:00