北京時間2022年10月11日21:11:11,CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊,損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。
攻擊步驟
① 攻擊者(0x2df9...)調用migrateStake()函數,傳入的oldStaking參數為0x9bdb...,這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。
安全公司Dedaub因披露Uniswap重入漏洞獲得4萬美元漏洞賞金:1月3日消息,安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的 4 萬枚 USDC 安全漏洞賞金,因為其披露 Uniswap 的一個嚴重漏洞,該漏洞有重入并耗盡用戶的資金的可能性。不過,Uniswap 團隊已解決該漏洞并在所有鏈上重新部署了 Universal Router 智能合約,資金是安全的。
Uniswap 在 2022 年 11 月份發布通用路由器Universal Router智能合約,可將 ERC20 和 NFT 兌換統一到一個交換路由器中,用戶可以執行異構操作,例如,在一筆交易中交換多個 Token 和 NFT。
Dedaub 表示,該路由器為各種 Token 操作嵌入了腳本語言,此類命令可能包括向第三方(可能不受信任的)接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼,該代碼可以重新進入 UniversalRouter 并在合約中臨時認領任何 Token。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖,并重新部署。[2023/1/4 9:50:22]
動態 | IOTA 主網因 bug 出現宕機,相關漏洞現已修復:公鏈 IOTA 主網在數小時前忽然出現共識分裂而無法更新的情況,TPS 一度接近 0。目前該漏洞已經修復。根據官方公告,該漏洞的具體情況為:在極端情況下,IRI(IOTA 主網客戶端名稱)沒有考慮兩個不同 bundle 之間共享的交易。一旦在一個 bundle 將某個交易標記為「已計數」,下一個 bundle 就會將其忽略,這一 bug 導致了賬本狀態的損壞。目前,該漏洞已經得到修復。相關客戶端版本和漏洞說明已經在 Github 更新。(區塊律動)[2019/12/30]
② 攻擊者提取了Stax Frax/Temple LP代幣,并將FRAX和TEMPLE代幣USDC最終兌換為WETH。
動態 | Coinomi錢包嚴重漏洞導致其價值6~7萬美元的加密貨幣被盜:Reddit網友“u/warith77”發文稱,Coinomi多幣種錢包的漏洞導致與第三方服務器共享純文本密碼,其價值6到7萬美元的加密貨幣被盜,但Coinomi拒絕承擔責任,并刪除了對其回復的推文,甚至“威脅”其公開事件的法律后果。除了創建這個安全隱患或控制后端的人之外,任何人都無法利用此安全問題。該網友建議使用Coinomi錢包的用戶轉移資金并使用其他應用程序創建新錢包以更改密碼。[2019/2/27]
漏洞分析
導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。
因此,攻擊者可以偽造oldStaking合約,任意增加余額。
資金去向
以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。
寫在最后
自6月初該合約被部署以來,導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤,也應該在審計中被發現。
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會在未來持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
CertiK中文社區
企業專欄
閱讀更多
寧哥的web3筆記
金色財經 龐鄴
DoraFactory
金色財經Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
Tags:STAUNISTAKUniswapSTAT幣universeshieldstaking幣崩盤了嗎Uniswap Wallet
年輕人其實想得沒那么復雜。采訪 | 蘇子華、段宛辰作者 | 蘇子華編輯 | 靖宇當不少 80 后、90 后還在困惑,生怕趕不上這趟所謂的 Web3「革命快車」的時候,有一些 00 后早.
1900/1/1 0:00:00原標題:《關于深入實施人才引領戰略加快天津高質量發展的意見》 出臺 打造“海河英才”行動計劃升級版辦好中國的事情,關鍵在黨,關鍵在人,關鍵在人才.
1900/1/1 0:00:00來源:老雅痞 1. 簡介 在以太坊過渡到權益證明共識機制(「合并」)之后,不同的評論家認為,以太坊的新質押模式可能導致其原始Token以太坊(ETH)被視為美國證券法下的證券.
1900/1/1 0:00:00隨著社會經濟的發展以及中國傳統文化被大力弘揚,國人的文化自信逐漸回歸,進而助推古董文玩藝術品投資的繁榮火爆.
1900/1/1 0:00:00By: Kong據慢霧區情報,2022 年 10 月 7 日,BNB Chian 跨鏈橋 BSC Token Hub 遭遇攻擊.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:441.15億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量25.
1900/1/1 0:00:00