COIN:漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_CardioCoin

北京時間2022年10月11日21:11:11，CertiKSkynet天網檢測到項目TempleDAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

①?攻擊者調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

CZ：Binance錢包和Trust Wallet不受Libbitcoin Explorer 3.x相關漏洞影響:8月11日消息，CZ在社交平臺上表示，支持自托管錢包，但前提是自己了解操作。Libbitcoin Explorer 3.x版本的加密貨幣錢包存在的漏洞源于32位助記詞的隨機數生成器，這在現代破解技術（如GPU）面前并不足夠隨機。Trustwallet和Binance 錢包并未在助記詞生成中使用此方法。[2023/8/11 16:20:36]

動態 | Dash官方發布警示：My Dash Wallet出現漏洞，請用戶暫停使用:7月12日，Dash官方推特發布警告：錢包My Dash Wallet出現漏洞。直到另行通知之前請不要使用該錢包。（該漏洞系通過外部加載JS腳本來發送私鑰到遠程服務器）據此前消息，安全公司昨日發布預警稱，近日有用戶反饋稱價值數百萬人民幣的DASH幣遭惡意竊取。[2019/7/12]

②攻擊者提取了StaxFrax/TempleLP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

動態 | Reddit網友：Coinomi錢包漏洞導致其價值6~7萬美元的加密貨幣被盜:據Cryptoglobe報道，Reddit網友“u/warith77”發文稱，Coinomi多幣種錢包的漏洞導致與第三方服務器共享純文本密碼，其價值6到7萬美元的加密貨幣被盜，但Coinomi拒絕承擔責任，并刪除了對其回復的推文，甚至“威脅”其公開事件的法律后果。除了創建這個安全隱患或控制后端的人之外，任何人都無法利用此安全問題。該網友建議使用Coinomi錢包的用戶轉移資金并使用其他應用程序創建新錢包以更改密碼。[2019/2/27]

漏洞分析

導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87StaxFrax/TempleLP代幣后來被交易為1,830.12WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警相關的信息。

Tags：STASTAKCOICOINstader幣會不會跑路Liquid Staked ETHCardioCoinSolarCoin

Coinw