根据报告,TempleDAO 是一个声称通过质押提供持续收入的系统,其一个质押金库遭到恶意利用,价值 1,830 ETH(目前约合 230 万美元)。
一位 TempleDAO 贡献者在该项目的 Discord 频道中发帖称,包含价值超过 1 亿美元的稳定币的 CORE 金库不受影响。 剥削者不能再造成进一步的伤害。 该贡献者还承诺所有受影响的用户都将收到修复。
根据 Etherscan 数据,美国东部时间 10 月 11 日上午 9:11 左右,该项目的 STAX 质押金库发生了提款事件。 DAO 中发布的公告称,撤回的金额“正好是 1,418,303 TEMPLE 和 1,362,438 FRAX”。
Twitter 用户 spreekaway 最初在报告一笔链上交易时发现了所谓的漏洞,该交易后来被区块链安全公司 PeckShield 证实。
Temple DAO 漏洞利用
被黑客攻击或利用的最新DefiDefi公司 1.6 亿美元被盗几周后,Transit Swap 上周因黑客损失了 2890 万美元。
据Defi Llama 称,Temple DAO 锁定的总价值为 5693 万美元,该漏洞占该协议持仓量的近 4%。 将所有资金转换为Ethereum,并将 234 万美元转移到新钱包中。
稳定币 FRAX 兑换为 TEMPLE 代币。 相关钱包地址连接到Binance账户,该账户将初始资金转入被利用的钱包地址。 在漏洞利用前大约一个半小时,它收到了 1.1 ETH。
区块链安全公司 Paladin表示,TempleDAO 黑客攻击与非桥接相关的智能合约trac。
由于其中一种质押机制存在“多重弊端”,用户可能会因此次攻击而从早期trac中转移质押代币。 攻击者为此特定功能拨打了一个虚假号码,授予他们访问金库的权限,并允许他们trac所有资金,而无需考虑新trac。
质押金库被盗后,代币价格短暂下跌了 20%。
同时,该 dApp 已被 TempleDAO 删除,以防止无意使用。 该团队说服黑客归还资金,并为他提供了针对该漏洞的合法赏金。