本周黑客再次发起攻击,这一次是以牺牲 Temple DAO 代码中的可用漏洞为代价的。 Temple 的“STAX Finance”协议提供了 TEMPLE 和 FRAX 代币的流动性池,在周二早些时候被利用,导致黑客扣押了价值 2.3 万美元的代币。
让我们看看在漏洞利用的早期我们所知道的。
下寺
据报道,该协议在质押“migrateStake”功能中存在漏洞 区块链审计师 Paladin. 该漏洞首先由 斯普雷克 在推特上。 可以说,整个事情中最奇怪的部分是这些资金可能在一段时间内都可以使用。 根据知名开发者 0xfoobar,这些资金“在链上可用数月”,所有相关方都有很多不足之处。
Temple DAO 似乎未经审计,因为这里的智能合约代码不适合数百万美元的流动资金池; 正如上述资源所指出的那样,漏洞利用非常容易。 剥削者只是使用旧的质押调用代码和虚假地址来提取 LP 资金。 该漏洞可被利用数月之久。
Temple DAO 的剥削者在离开时将 LP 代币换成 ETH 资金。 | 资源: TradingView.com上的ETH-USD
漏洞仍在继续
侦探已经发现剥削者的钱包是由币安钱包资助的,因此币安很有可能会追查该钱包(STAX 已建议他们“跟进币安并将为剥削者初始化白帽赏金” )。 否则,不幸的是,最近的这个漏洞只是又一个尘埃落定的漏洞。
尽管如此,对于鲜为人知的 Temple DAO 来说,它远非“棺材上的钉子”。 根据 羊驼,DAO 的总价值锁定 (TVL) 接近 60 万美元——所以它应该活到另一天。
来自Pixabay的特色图片,来自TradingView.com的图表此内容的作者与本文中提到的任何一方都没有关联或附属关系。 这不是财务建议。
本专栏代表作者的观点,不一定反映比特币主义者的观点。 比特币主义者是创意和财务自由的倡导者。
来源:https://bitcoinist.com/temple-dao-exploited-for-2m/