比特币:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析_STAKE价格

北京时间2022年10月11日21:11:11，CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

①?攻击者调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

JPEG'd正在就如何分配Curve漏洞资金进行投票:金色财经报道，NFT支持的贷款协议JPEG'd 在最近的Curve漏洞中损失了近1200万美元的加密货币，然后支付了100万美元的赏金以收回90%的资金（5,495.4 WETH），用于将恢复的WETH支付到所有因Curve漏洞而遭受损失的地址，现在其DAO正在就如何分配漏洞资金进行投票，共六项提案，投票截至日期为周六。解决这种情况需要发行新的pETH代币，该代币将以1 pETH : 1 ETH的价格空投到漏洞利用前持有pETH的钱包。[2023/8/19 18:09:44]

Lido Finance 通过赏金计划发现一漏洞，已采取短期补救措施:10月8日消息，质押流动性解决方案 Lido Finance 通过 Lido 漏洞赏金计划发现了一个漏洞，该漏洞能被列入白名单的节点运营商利用，以窃取一小部分用户资金。漏洞报告时大约有 2 万枚 ETH 暴露在风险之中，目前团队已经采取了短期的补救措施，同时正在讨论和研究长期的解决方案。本次报告漏洞的白帽子是 StakeWise 的创始人 Dmitri Tsumak，预计其将获得漏洞赏金计划的最高赏金额 10 万美元。[2021/10/8 20:12:39]

②攻击者提取了StaxFrax/TempleLP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

以太坊开发者修复测试网上的EIP-1559相关漏洞:以太坊开发人员一直在努力解决测试网上的代码和客户端出现的问题，以为下一次网络重大升级——伦敦升级做好准备。7月21日，以太坊首席开发人员Tim Beiko发布了一份“伦敦测试网回顾”报告，详细介绍了即将到来的以太坊升级测试阶段的最新进展。

根据报告，OpenEthereum客户端在7月21日注意到他们的节点在Ropsten测试网上停止了运行。经查，问题不在该客户端，而是在go-ethereum协议和Geth客户端上，后者检查EIP-1559交易的发送方余额。据悉，当时一些客户端拒绝了该区块，而另一些客户端接受了该区块并继续处理：“具体而言，OpenEthereum和Besu拒绝了该笔交易/区块，而Nethermind、go-ethereum和Erigon接受了它们。”之后，通过向EIP-1559交易的有效性添加新的断言（assertions），这个问题得以修复，并且测试仍在继续。据悉，测试于6月24日在Ropsten测试网上率先激活；本月早些时候，Rinkeby测试网也启动了最后的测试阶段。（BeInCrypto）[2021/7/22 1:09:15]

漏洞分析

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87StaxFrax/TempleLP代币后来被交易为1,830.12WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警相关的信息。

标签：STAETHSTAK比特币starl币最新消息3X Short Ethereum Classic TokenSTAKE价格比特币市值占比走势图表

TRX热门资讯