STA:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析

北京时间2022年10月11日21:11:11，CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

①?攻击者调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

声音 | BitMEX：以太坊Parity全节点存在潜在漏洞:据cointelegraph报道，加密货币交易平台BitMEX的研究部门今日在博客文章中透露，以太坊Parity全节点包含一个潜在的漏洞。Nodestats团队于3月1日开始从以太坊Parity全节点收集数据。报告称，截至3月12日，其节点仍未与以太坊区块链完全同步。报告称，该客户端落后约450000个区块。文章作者称，在某些情况下攻击者可能会利用该漏洞，但“极不可能”发生。[2019/3/14]

动态 | 者利用YouTube版权系统漏洞勒索比特币:据Motherboard消息，近日，视频网站YouTube上有人提交虚假的版权“标志”，投诉两个小型游戏频道侵犯了其版权，并向这两个游戏频道发消息，试图勒索比特币。YouTube并没有识别出这些“标志”是虚假的，错误地删除了视频。直到用户在Twitter上抱怨这一问题后，YouTube才恢复视频并停用了发起投诉的账户。[2019/2/8]

②攻击者提取了StaxFrax/TempleLP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

动态 | Augur发现重大漏洞 黑客可借此控制系统并获取用户信息:据Thenextweb消息，近日分布式预测市场平台Augur被曝发现重大漏洞，黑客可据此向用户发送虚假信息并控制系统。Augur应用程序上的所有内容，包括交易数据、钱包地址和市场行情，目前都处于被黑客篡改的风险下。据悉，用户一旦访问来自Augur的链接，其以太坊地址等关键信息将被黑客截取。[2018/8/8]

漏洞分析

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签：STASTAK以太坊KINGWISTA币pstake币价格以太坊官网地址king币介绍

火必APP热门资讯