安全團隊：GenomesDAO遭攻擊因合約可被任意重復初始化設置關鍵參數_STAK

Polygon生態項目GenomesDAO遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊分析如下：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

安全團隊：BNB Chain上加密項目ORT被利用，黑客獲利約7萬美元:金色財經報道，據區塊鏈安全審計公司Beosin監測顯示，BNBChain上的加密項目ORT被利用，黑客獲利約7萬美元。其中黑客首先調用INVEST函數，這個函數會調用_Check_reward函數來計算用戶的獎勵，但是黑客的duration變量為0，所以會直接返回total_percent變量作為reward參數，然后黑客調用withdraw And Claim函數提取獎勵，獲取total_percent數量的ORT代幣，重復上述步驟獲利。[2023/1/17 11:16:02]

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

安全團隊：TrustSwap項目遭受黑客攻擊，影響金額至少約779萬美元:金色財經報道，據Beosin平臺檢測顯示，TrustSwap項目遭受黑客攻擊，影響金額至少約779萬美元（ETH 880.2554，DAI 6,429,327.65），此外本次攻擊還盜取了CAW和TSUKA代幣，價值約550萬美元。[2022/10/27 11:49:25]

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

安全團隊：建議Solana錢包用戶盡快轉移加密資產至CEX或者硬件錢包:8月3日消息，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Solana生態發生大規模盜幣事件，經成都鏈安安全團隊分析，事故的原因可能是一次供應鏈攻擊，npm package里面有后門，所以很多錢包受到影響。建議Solana錢包用戶盡快轉移加密資產至CEX或者硬件錢包，成都鏈安鏈必追平臺正在對被盜資金進行實時監控。[2022/8/3 2:55:14]

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。

Tags：STAKSTAKINStakingpstake幣怎么樣STARSethnographyofspeakingstaking幣圈

歐易交易所