TIK:漏洞早已存在數月？Temple DAO遭受攻擊損失230萬美元事件分析_STAK

北京時間2022年10月11日21:11:11，CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊，損失約230萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊步驟

① 攻擊者（0x2df9...）調用migrateStake()函數，傳入的oldStaking參數為0x9bdb...，這導致被攻擊的合約將里面的LP代幣轉移到了攻擊者的合約中。

CertiK：蘋果iOS內核存在的兩個安全漏洞會對iOS設備造成影響:金色財經報道，根據蘋果公司最新操作系統更新的發布說明，區塊鏈安全機構CertiK因與蘋果iOS內核的兩個安全漏洞有關的安全貢獻獲蘋果官方認可。經證實，這些漏洞會對最新的iOS設備造成影響。

據蘋果公司官方安全更新頁面信息顯示，這些漏洞會允許“一個應用程序以內核權限執行任意代碼”。在最新發布的版本中，蘋果已通過改進內存處理來解決這些漏洞。[2023/8/9 16:15:59]

HAY發行商Helio：Ankr將承擔攻擊者利用其漏洞而產生的壞賬:12月3日消息，BSC生態Stablecoin項目Helio Protocol在社交平臺發文表示，Ankr將買入從aBNBc中鑄造的多余HAY進行燃燒，Ankr將承擔攻擊者利用Helio Protocol漏洞而產生的壞賬。Helio Protocol將改換新發行的ankrBNB Token作為抵押品。[2022/12/3 21:18:54]

② 攻擊者提取了Stax Frax/Temple LP代幣，并將FRAX和TEMPLE代幣USDC最終兌換為WETH。

Security Chain 安全鏈 ：EOS漏洞只是一個開始:今日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。對此，Security Chain安全鏈表示：我們認為在未來的區塊鏈安全中，最重要的是利用區塊鏈的共識機制去活躍和吸引安全人才投入到區塊鏈行業中。把階段性安全問題先解決（如錢包安全問題），再用技術貢獻經濟化的手段將安全技術和科學家從傳統行業帶到區塊鏈中為整個生態服務。將原來安全行業技術資源壟斷的問題一定程度去中心化，把利益分享給為區塊鏈完善安全技術的從業者。[2018/5/29]

漏洞分析

導致Temple DAO漏洞的原因是StaxLPStaking合約中的migrateStake函數沒有檢查輸入的oldStaking參數。

因此，攻擊者可以偽造oldStaking合約，任意增加余額。

資金去向

以太坊上的321,154.87 Stax Frax/Temple LP代幣后來被交易為1,830.12 WETH(約230萬美元)。

寫在最后

自6月初該合約被部署以來，導致此次事件發生的漏洞已經存在了數月。這是一種智能合約邏輯錯誤，也應該在審計中被發現。

攻擊發生后，CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時，CertiK也會在未來持續于官方公眾號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

CertiK中文社區

企業專欄

閱讀更多

寧哥的web3筆記

金色財經 龐鄴

DoraFactory

金色財經Maxwell

新浪VR-

Foresight News

Footprint

元宇宙之道

Beosin

SmartDeerCareer

Tags：STASTAK區塊鏈TIKstart幣多少錢pstake幣能漲到多少美元什么叫做區塊鏈技術的概念PLASTIK

以太坊交易所