北京時間2022年10月11日21:11:11,CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。
攻擊步驟
①?攻擊者調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。
CZ:Binance錢包和Trust Wallet不受Libbitcoin Explorer 3.x相關漏洞影響:8月11日消息,CZ在社交平臺上表示,支持自托管錢包,但前提是自己了解操作。Libbitcoin Explorer 3.x版本的加密貨幣錢包存在的漏洞源于32位助記詞的隨機數生成器,這在現代破解技術(如GPU)面前并不足夠隨機。Trustwallet和Binance 錢包并未在助記詞生成中使用此方法。[2023/8/11 16:20:36]
Rocket Pool社區倡導者:Rocket Pool正在為pDAO開發鏈上投票,Saturn升級將解決去中心化漏洞:月5日消息,Lido社區質押團隊發現Rocket Pool EOA合約由Rocket Pool團隊控制,允許團隊更改任何參數并在pDAO合約上調用任何方法。Lido社區質押負責人DmitryGusakov表示,在Lido中這完全由LidoDAO控制。
對此,Rocket Pool社區倡導者jasperthefriendlyghost.eth表示,Rocket Pool正在為pDAO開發鏈上投票。在發布時,pDAO沒有經過測試,但是,這種情況已經改變,Saturn升級就是為了修補去中心化漏洞。[2023/7/5 22:18:48]
②攻擊者提取了StaxFrax/TempleLP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。
Jump Crypto安全團隊在Cosmos生態智能合約平臺CosmWasm發現堆棧溢出漏洞,目前已修復:6月2日消息,Jump Crypto 安全團隊在 Cosmos 生態智能合約平臺 CosmWasm 中發現了一個堆棧溢出漏洞,該漏洞可能允許在基于 Cosmos 的區塊鏈上上傳新智能合約的用戶完全停止這些鏈。Jump Crypto 已于 4 月份與 CosmWasm 團隊合作創建修復程序,不過尚需一些時間讓依賴 CosmWasm 的鏈采用此修復程序。[2023/6/2 11:54:14]
漏洞分析
導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。
因此,攻擊者可以偽造oldStaking合約,任意增加余額。
資金去向
以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。
寫在最后
自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。
文/nothingless.eth作者授權轉載,原標題:日本CryptoMarketing面面觀 引言: 日本一直被認為是一個易守難攻的市場,一個類似“雞肋”的存在.
1900/1/1 0:00:00作者:周舟 香港已下定決心與新加坡、倫敦、紐約等城市爭奪全球加密金融中心和虛擬資產中心地位。10月16日,香港財政司司長陳茂波發表文章《香港的創科發展》,并指出要推動香港發展成國際虛擬資產中心.
1900/1/1 0:00:0010月20日消息,模塊化區塊鏈網絡Celestia完成5500萬美元融資,BainCapitalCrypto和PolychainCapital領投.
1900/1/1 0:00:00FTX創辦人SamBankman-Fried上周作客知名區塊鏈Podcast《UNCHAINED》.
1900/1/1 0:00:00XEN通過Youtuber視頻宣傳、制造話題等已有方式打出的“組合拳”使其“一夜成名“。來源:foresightnews作者:WhoKnowsDAOXENCrypto恐怕是上周討論度最高的項目了.
1900/1/1 0:00:00文/KermanKohli,天使投資人;譯/金色財經xiaozou 前言 過去兩年,我幾乎把所有清醒的時間都用來思考關于鏈上身份的問題,以及如何讓其成為現實.
1900/1/1 0:00:00