Templedao被攻擊事件分析

發表於 2022-10-12 08:59 作者： CertiK中文社區

北京時間2022年10月11日21:11:11，CertiK Skynet天網發現項目，損失約237萬美元。攻擊發生的主要原因是migrateStake函數沒有檢查輸入的oldStaking參數。

攻擊流程

1. 攻擊者（0x2df9...）調用migrateStake()函數，傳入的oldStaking參數爲0x9bdb...，這導致被攻擊的合約將裏面的LP 代幣轉移到了攻擊者的合約中。https://etherscan.io/tx/0x8c3f442fc6d640a6ff3ea0b12be64f1d4609ea94edd2966f42c01cd9bdcf04b5

2. 攻擊者提取了Stax Frax/Temple LP代幣，並將FRAX和TEMPLE代幣USDC兌換，後來兌換成WETH。https://etherscan.io/tx/0x4b119a4f4ba1ad483e9851973719f310527b43f3fcc827b6d52db9f4c1ddb6a2

漏洞原因：

導致TempleDAO漏洞的原因是StaxLPStaking合約中的migrateStake函數（0xd2869042E12a3506100af1D192b5b04D65137941）沒有檢查輸入的oldStaking參數。因此，攻擊者可以僞造oldStaking合約，任意增加余額。

資產追蹤：

以太坊上的321,154.87 Stax Frax/Temple LP代幣後來被轉移到1,830.12 WETH(2,347,352.10美元)

寫在最後：

通過審計，可以發現該漏洞。攻擊發生後，CertiK的推特預警账號以及官方預警系統已於第一時間發布了消息。請持續關注CertiK，我們會在未來於官方公衆號發布與項目預警（攻擊、欺詐、跑路等）相關的信息。

標題：Templedao被攻擊事件分析

地址：https://www.coinsdeep.com/article/7534.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。