北京時間2022年10月11日21:11:11,CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。
攻擊步驟
①?攻擊者調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。
Gutter Cat Gang:已收回昨日被攻擊的Twitter賬戶的控制權,正在與執法部門合作調查漏洞:7月9日消息,Gutter Cat Gang 發推稱,昨日 Twitter 賬戶遭遇攻擊,惡意推文于北京時間 7 月 8 日上午發布。目前,團隊已經重新獲得對 Twitter 賬戶的控制權,并及時聯系在 Twitter、執法部門與移動網絡供應商的聯系人,采取措施提醒未受影響的賬戶的社區。惡意推文與鏈接已被刪除。
目前,團隊正對 Twitter 賬戶漏洞進行調查,團隊一直使用多重身份認證與安全措施。此外,團隊正在與執法部門合作,調查該漏洞,并采取措施防止其再次發生。[2023/7/9 22:26:59]
密碼學家發現MetaMask存在可致用戶IP地址泄露的漏洞:金色財經報道,OMNIA協議的聯合創始人、安全分析師和密碼學家Alexandru Lupascu稱MetaMask錢包存在漏洞風險,惡意攻擊者可以簡單地創建一個NFT,并通過轉移該NFT的免費所有權來獲取用戶的IP地址,黑客只需花費50美元就能攻擊他人的隱私。
Lupascu表示,他在2021年12月14日發現了這個安全漏洞,并向MetaMask團隊提出了解決方案,但他們忽視了這個問題,并表示將在2022年第二季度之前解決。
在這項研究向公眾展示之后,MetaMask的創始人Daniel Finlay承認了這一事件:“我認為這個問題已經被大眾廣泛知曉很久了,所以我認為披露期并不適用。”Finlay補充說:“Lupascu說我們沒有盡早解決這個問題,他說得沒錯。我們現在就開始著手解決這一問題。謝謝你的提醒。”(BeInCrypto)[2022/1/23 9:07:16]
②攻擊者提取了StaxFrax/TempleLP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。
Cover Protocol疑似因獎勵合同漏洞損失200萬美元:推特網友DeFi LATAM今日表示,由于獎勵合同中的一個漏洞,CoverProtocol損失了200萬美元。此外,鏈上數據顯示,已有攻擊者(0xf05Ca...943DF)利用Cover合約共增發了約1萬枚COVER,并且已將其換成了WBTC和DAI等資產。[2020/12/28 15:54:34]
漏洞分析
導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。
因此,攻擊者可以偽造oldStaking合約,任意增加余額。
資金去向
以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。
寫在最后
自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
作者:響指建設者Twitter?@Varian8848去年全球藝術市場每交易額約650億美金,而這其中并沒有算上NFT.
1900/1/1 0:00:00頭條 ▌彭博社:Celsius已收到美國大陪審團傳票金色財經報道,破產的加密貨幣借貸服務提供商Celsius已收到美國大陪審團傳票.
1900/1/1 0:00:00香港特別行政區財經事務及庫務局于今日正式發布《有關香港虛擬資產發展的政策宣言》,就在香港發展蓬勃的虛擬資產行業和生態圈,闡明政府的政策立場和方針.
1900/1/1 0:00:0010月31日,Binance宣布將上線Launchpool項目Hashflow的原生TokenHFT.
1900/1/1 0:00:00以太坊的發展路線越來越傾向于ModularBlockchain,其本質就是Layer1的datasharding和Layer2的Rollups擴容相結合,成為一種模塊化架構.
1900/1/1 0:00:00原文標題:《Lens?47個生態項目整理》 原文來源:追風Lab Lens協議是PolygonProof-of-Stake區塊鏈上的Web3社交圖.
1900/1/1 0:00:00