北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
①?攻击者调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
多链钱包BitKeep疑似出现安全漏洞,团队正在进行技术排查:12月26日消息,Web3多链钱包BitKeep疑似出现安全漏洞,多名用户在其官方Telegarm群进行反馈资金被盗。BitKeep团队表示正在紧急排查原因,如因平台原因导致的资产损失,BitKeep安全基金将进行全额赔付。[2022/12/26 22:07:57]
FATF执行秘书:FATF不会容忍允许加密货币公司绕过旅行规则的立法漏洞:在今日的V20峰会上,金融行动特别工作组(FATF)执行秘书兼G20代表David Lewis表示,G20一致认为,支付系统必须更新,虚拟资产可以在其中发挥作用。他称,包括发布“旅行规则”(Travel Rule)在内的2019年指南只是第一步,FATF不会容忍一些国家在立法中留下漏洞,允许加密货币公司绕过旅行规则和其他反协议。此外他还表示,除非在其职权范围内的200个国家都有效实施标准,否则稳定币发行将不可能受到监管。(CryptoNews)[2020/11/16 20:58:47]
②攻击者提取了StaxFrax/TempleLP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
动态 | 安比(SECBIT)实验室预警FOMO3D游戏随机数漏洞:经Reddit 用户 karalabe 爆料 ,安比(SECBIT)实验室审计后确认,FOMO3D 游戏的智能合约存在随机数漏洞可被利用,FOMO3D 合约及所有抄袭源码的山寨合约均存在该安全漏洞。原本设计上随机性较大的空投游戏可通过特殊手段操纵,大大提高中奖概率。漏洞细节为:以太坊智能合约环境中难以生成无法预测的随机数,FOMO3D 开发者在其合约中增加了判断调用者是普通人类还是合约的判断逻辑来尝试规避,但此逻辑实现存在漏洞。攻击者利用借助合约提前预测随机数,从而大大增加自身中奖概率。
评级机构Tokeninsight之前曾提示,FOMO3D存在合约安全风险可能性,且后进场玩家有较大投资风险。[2018/7/24]
漏洞分析
导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。