WEB3:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析_BSP

北京时间2022年10月11日21:11:11，CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者（0x2df9...）调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

日本央行官员：G7必须加快建立共同框架来监管数字货币以应对制裁漏洞:3月31日消息，日本央行支付系统部门负责人Kazushige Kamiyama表示，七国集团（G7）的政策制定者必须加快建立一个共同框架来监管数字货币，因为俄乌冲突加剧了避免数字货币被用作制裁漏洞的必要性。

他解释称：“数字货币比传统的使用美元、欧元和日元的支付方式更容易逃避制裁，这可以彻底颠覆全球支付体系。而使用稳定币做到这一点并不难。因此我们需要快速更新当前的规则，而目前这些规则几乎没有关于数字货币的规定。（路透社）[2022/3/31 14:28:56]

Opyn官方：已发布漏洞白帽补丁 并设计方案降低ETH卖方损失:8月5日早间，Opyn官方发文，就平台漏洞导致ETH被盗事件作出解释。Opyn官方表示，针对该漏洞和用户损失，官方已作出一系列措施：1.已从Uniswap撤回ETH看跌期权流动资金，以防止仍有用户购买造成损失；2.为保持现有ETH期权持有者流动性，官方将以高于Deribit市场价20%的价格赎回用户的看跌期权；3.官方已发布白帽补丁。该补丁降低了现有看跌期权合同的担保比率，并允许官方进行清算，以确保未偿付看跌期权卖方的担保在Opyn团队控制的地址中是安全的。4.官方正在设计一项方案，以减轻对ETH卖方的影响。此外，官方表示，为了防止此类事件再次发生，今后官方将对发布的任何产品进行彻底的内部测试，提高现有错误奖励计划的奖励金额等。今日早间消息，Opyn ETH看跌合约漏洞被外部参与者利用并盗取逾37.1万枚USDC。[2020/8/5]

② 攻击者提取了Stax Frax/Temple LP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

动态 | HireVibes空投时爆出安全漏洞:据 IMEOS 报道，HireVibes 今日发布了关于 2018 年 11 月 12 日发生的漏洞利用事件的官方声明。声明中表示，本事件涉及第三方服务提供商，他们在为 HireVibes 提供空投服务时爆出安全漏洞并被黑客利用。目前这一事件目前正在调查中。[2018/11/16]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警（攻击、欺诈、跑路等）相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

标签：WEBWEB3BSPNBSWEBOOweb3.0币怎么提现到账号BSPT币nbs币未来价格

币安交易所app下载热门资讯