北京时间2022年10月11日21:11:11,CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。
攻击步骤
① 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。
Mesh Finance在Immunefi推出最高5万美元的漏洞赏金计划:据官方消息,由社区驱动的DeFi项目Mesh Finance在智能合约漏洞赏金平台Immunefi推出最高5万美元的漏洞赏金计划,具体赏金金额将根据Immunefi制定的漏洞严重程度分类来进行分配,智能合约和区块链漏洞等级被分为严重高风险、高危、中等、低等、无威胁五个等级,其中最高级别漏洞奖励高达5万美元。[2021/4/22 20:48:07]
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
② 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC最终兑换为WETH。
首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]
漏洞分析
导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。
因此,攻击者可以伪造oldStaking合约,任意增加余额。
资金去向
以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。
写在最后
自6月初该合约被部署以来,导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误,也应该在审计中被发现。
攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时,CertiK也会在未来持续于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。
CertiK中文社区
企业专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
来源:Joonas K?pp?一个真实的故事,讲述了我在 2013 年比特币的第一次淘金热期间如何全力挖掘加密货币。2013 年 3 月的一个寒冷的夜晚,在芬兰的 Yl?j?rvi 市.
金色财经编辑部每晚为读者精挑了当天最值得精读的5篇文章,希望您每一天都能获得新的知识财富。世界杯、球迷代币、Berachain、Cosmos 2.0、去中心化稳定币、DeFi和NFT的结合、新风.
▌英国计划成为加密货币和区块链中心金色财经报道,将区块链技术用作存储文件的解决方案所必需的立法已获得英国政府的批准。在10月13日的新闻稿中英国宣布,希望在处理官方文件时不再使用纸张.
作者:@SantiLi10212020-2022 年期间区块链行业发生了极快的变化,从2019年-2020年上半年初几乎觉得没有什么有意思的一级项目与新创意.
区块链空间正越来越多地转向模块化架构,以实现真正的可扩展性。即使是像以太坊这样以前完全单片的链,也正在转向模块化设计,以克服单片区块链设计带来的挑战.
吴说作者:defioasis美东时间 10 月 28 日,历尽几番波折,世界首富埃隆·马斯克最终以 440 亿美元完成对社交媒体巨头 Twitter 的收购.