Протокол DeFi Temple DAO потерял более $2,3 млн. 11 октября в результате взлома, впервые замеченного пользователем Twitter Spreekaway и подтвержденного блокчейн-аналитической компанией Peckshield.
#PeckShieldAlert Похоже, что @templedao подвергся эксплуатации. Эксплуататор пополнил счет с SimpleSwap и уже перевел 1,831 $ETH (~$2.34M) на новый адрес 0x2B63d...B5A0 @peckshield https://t.co/bOyOARyyxY pic.twitter.com/SVEm8o95U6
- PeckShieldAlert (@PeckShieldAlert) 11 октября 2022 г.
По данным Peckshield, хакер финансировал атаку с SimpleSwap и перевел 1 831 ETH на новый адрес, 0x2B63d.
TempleDAO ретвитнул в Twitter тему об эксплойте из DeFi протокола Stax Finance. Согласно этой теме, 321 154 токена xLP были украдены из контракта xLP Staking и конвертированы в 1 418 303 токена $TEMPLE и 1 262 438 $FRAX. Токены TEMPLE также были позже проданы за FRAX.
Выяснилось, что хакер использовал функцию "отсутствующая проверка onlyMigrator" в контракте StaxLPStaking.
Тем временем, TempleDAO убрала Dapp, чтобы избежать случайного использования. Команда призвала хакера вернуть средства, предложив ему законное вознаграждение за эксплойт.
Другая фирма CertiK, занимающаяся безопасностью блокчейна, написала, что "причина этой атаки в том, что функция migrateStake не проверяет, является ли входное значение oldStaking ожидаемым. В результате злоумышленники могут подделать контракты oldStaking для произвольного добавления баланса".
#CertiKSkynetAlert 🚨
Проект @templedao (TEMPLE) был освоен за ~$2M.
Похоже, что EOA 0x9c9F... получил ~1831 ETH от exploit & и перевел средства на 0x2B63....
Более подробная информация об этом инциденте появится в ближайшее время.
Оставайтесь там в безопасности! pic.twitter.com/r7I7XlufPY
- CertiK Alert (@CertiKAlert) 11 октября 2022 г.
Олувапелуми верит в преобразующую силу Биткойна и индустрии блокчейна.
