STAK:安全团队：GenomesDAO遭攻击因合约可被任意重复初始化设置关键参数_STA

Polygon生态项目GenomesDAO遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

安全团队：发现Circom验证库漏洞CVE-2023-33252:金色财经报道，Beosin 发现Circom 验证库漏洞CVE-2023-33252，提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器，该团队同时开发了SnarkJS库用于实现证明系统，包括：可信设置、零知识证明的生成和验证等，支持Groth16、PLONK、FFLONK算法。

此前，Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞，当该库在验证证明时未对参数进行完整的合法性检查，使得攻击者可以伪造出多个证明通过校验，实现双花攻击。Beosin在提了这个漏洞以后，第一时间联系项目方并协助修复，目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本！以确保安全性。

同时针对此漏洞，Beosin安全团队提醒zk项目方，在进行proof验证时，应充分考虑算法设计在实际实现时，由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台（Common Vulnerabilities and Exposures）并获取认可。[2023/5/25 10:39:47]

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

安全团队：Ankr项目攻击者已将200个BNB存入tornado cash:12月2日消息，据Fairyproof安全监测系统显示，12月2日，BNBchain上Ankr项目遭受黑客攻击。攻击者（0xf3a...5c777）疑似盗取了AnkrDeployer地址（0x2Ff....e33C0）的私钥，通过然后通过给aBNBc升级一个恶意aBNBc的实现合约（0xd99....14Ce4）后，Ankr Deployer地址发起一个mint交易，哈希值为0xf3a4....5c777，该交易增发10,000,000,000,000aBNBc代币。

随后Ankr Deployer转移了1.125个BNB到攻击者地址，攻击者地址随后将获得的aBNBc代币兑换为其他资产，其中200个BNB，存入tornado cash，其余的大部分转移到其他链上，其中大约428万美元的资产转移到eth，大约76万美元资产转移到Ploygon事发1个多小时后，Ankr Deployer将几个Ankr项目合约的owner权限转移到新的owner地址，攻击者获利超过500万美元。[2022/12/2 21:17:51]

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

安全团队：BGEO Token或存在“无限铸币”漏洞:10月20日消息，据Dataverse在社交媒体透露，目前已经检测到黑客对GEO BSC合约进行攻击，并提醒用户不要在BSC购买GEO，因为相关操作可能无效。后续GeoCash将对相关问题进行维护，也将根据ETH/Polygon链上快照进行空投。

另据派盾（PeckShield）在社交媒体上分析，该问题可能是BGEO（Binance GeoDB Coin）的铸造函数存在“允许无限铸币”漏洞导致。[2022/10/20 16:31:20]

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

标签：STAKSTAINGTAKISunStakeSTACArcade KingdomsMetakillers

FTT热门资讯