全球数字财富领导者

Templedao被攻击事件分析

2022-10-12 09:11:04
金色财经
金色财经
关注
0
0
获赞
粉丝
喜欢 0 0收藏举报
— 分享 —
摘要:CertiK Skynet天网发现项目,损失约237万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

北京时间2022年10月11日21:11:11,CertiK Skynet天网发现项目,损失约237万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数。

攻击流程

1. 攻击者(0x2df9...)调用migrateStake()函数,传入的oldStaking参数为0x9bdb...,这导致被攻击的合约将里面的LP 代币转移到了攻击者的合约中。https://etherscan.io/tx/0x8c3f442fc6d640a6ff3ea0b12be64f1d4609ea94edd2966f42c01cd9bdcf04b5

RU53auvxPEuIiJYxheuiGE4rCtPecwFCku0UM8dk.png

2. 攻击者提取了Stax Frax/Temple LP代币,并将FRAX和TEMPLE代币USDC兑换,后来兑换成WETH。https://etherscan.io/tx/0x4b119a4f4ba1ad483e9851973719f310527b43f3fcc827b6d52db9f4c1ddb6a2

漏洞原因:

导致TempleDAO漏洞的原因是StaxLPStaking合约中的migrateStake函数(0xd2869042E12a3506100af1D192b5b04D65137941)没有检查输入的oldStaking参数。因此,攻击者可以伪造oldStaking合约,任意增加余额。

资产追踪:

以太坊上的321,154.87 Stax Frax/Temple LP代币后来被转移到1,830.12 WETH(2,347,352.10美元)

写在最后:

通过审计,可以发现该漏洞。攻击发生后,CertiK的推特预警账号以及官方预警系统已于第一时间发布了消息。请持续关注CertiK,我们会在未来于官方公众号发布与项目预警(攻击、欺诈、跑路等)相关的信息。

来源:金色财经

1. 欢迎转载,转载时请标明来源为FX168财经。商业性转载需事先获得授权,请发邮件至:media@fx168group.com。
2. 所有内容仅供参考,不代表FX168财经立场。我们提供的交易数据及资讯等不构成投资建议和依据,据此操作风险自负。
go