FOR:漏洞早已存在数月？Temple DAO遭受攻击损失230万美元事件分析_Phoenix Force

北京时间2022年10月11日21:11:11，CertiK Skynet天网检测到项目Temple DAO遭到黑客攻击，损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击步骤

① 攻击者（0x2df9...）调用migrateStake()函数，传入的oldStaking参数为0x9bdb...，这导致被攻击的合约将里面的LP代币转移到了攻击者的合约中。

Mesh Finance在Immunefi推出最高5万美元的漏洞赏金计划:据官方消息，由社区驱动的DeFi项目Mesh Finance在智能合约漏洞赏金平台Immunefi推出最高5万美元的漏洞赏金计划，具体赏金金额将根据Immunefi制定的漏洞严重程度分类来进行分配，智能合约和区块链漏洞等级被分为严重高风险、高危、中等、低等、无威胁五个等级，其中最高级别漏洞奖励高达5万美元。[2021/4/22 20:48:07]

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

② 攻击者提取了Stax Frax/Temple LP代币，并将FRAX和TEMPLE代币USDC最终兑换为WETH。

首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯，近日，DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞，攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息，严重威胁用户信息安全。为避免发生KYC泄露的恶性事件，DVP安全团队在收到该漏洞后，第一时间通知该平台进行修复，但未收到回应。DVP提醒相关用户关注个人信息安全，以免造成损失。[2019/8/13]

漏洞分析

导致Temple DAO漏洞的原因是StaxLPStaking合约中的migrateStake函数没有检查输入的oldStaking参数。

因此，攻击者可以伪造oldStaking合约，任意增加余额。

资金去向

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被交易为1,830.12 WETH(约230万美元)。

写在最后

自6月初该合约被部署以来，导致此次事件发生的漏洞已经存在了数月。这是一种智能合约逻辑错误，也应该在审计中被发现。

攻击发生后，CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。同时，CertiK也会在未来持续于官方公众号发布与项目预警（攻击、欺诈、跑路等）相关的信息。

CertiK中文社区

企业专栏

阅读更多

宁哥的web3笔记

金色财经 庞邺

DoraFactory

金色财经Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

标签：FORORCFORCEMELFOREVERUPorc币的挖矿Phoenix Forcecamel币行情

火币APP下载热门资讯