漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_STAK:Stakearn

北京時間2022年10月11日21:11:11，CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

① 攻擊者（0x2df9...）調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

Jimbos協議與美國國土安全部合作以幫助從閃電貸漏洞中收回資金:金色財經報道，基于Arbitrum的應用程序Jimbos Protocol的開發人員周三表示，他們已與美國國土安全部紐約分部立案，以逮捕上周末利用該協議獲利數百萬美元的攻擊者。除了與美國的執法部門合作外，該團隊目前還在其他司法管轄區立案，并向公眾提供價值約80萬美元的10%賞金，獎勵任何提供信息以抓獲剝削者和資金的人。[2023/6/1 11:51:30]

一月鏈上漏洞利用等黑客攻擊總計11起，損失約1460萬美元:金色財經報道，據Dapprader數據顯示，2023年1月漏洞利用等區塊鏈攻擊事件減少到了11起，造成總損失1460萬美元。漏洞利用攻擊大多發生在BNB Chain上，記錄在案的黑客事件有四起，其中最大的漏洞利用攻擊發生在Heco網絡上的LendHub借貸協議上，造成約600萬美元的損失，該漏洞存在于lBSV合約復制中，允許攻擊者將資金存入舊版本并從新市場借款，通過利用鑄幣和贖回流程將被盜資產轉移到以太坊和Optimism等其他區塊鏈。

第二大漏洞利用攻擊是Arbitrum網絡上的GMX協議，造成280萬美元的損失。與往年相比， 2023 年1月因黑客鏈上攻擊造成的損失金額相對較低，也標志著區塊鏈安全正在逐漸向好。[2023/2/6 11:49:35]

② 攻擊者提取了Stax Frax/Temple LP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

CoinDesk宣布已修復內容管理系統草稿標題被提前泄露的漏洞:2月8日消息，知名加密媒體CoinDesk宣布已修復一個白帽黑客透露的系統漏洞，該漏洞暴露了在CoinDesk內容管理系統 (CMS) 中保存為草稿的文章標題，可能允許身份不明的行為者通過API在至少一篇文章發表之前進行交易來從非公開信息中獲利。

CoinDesk表示，該問題現已得到解決，并且已實施了額外的保障措施。“我們對無意中偏離加密市場公平競爭環境的承諾表示遺憾。”CoinDesk CEO Kevin Worth表示。[2022/2/8 9:38:47]

漏洞分析

導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

CertiK中文社區

企業專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags：STASTAKTAKIINDSTAR價格StakearnStakingcindicator幣最新消息

Gateio