Храм DAO эксплуатируется за 2 миллиона долларов

На этой неделе хакеры снова наносят удар, на этот раз за счет доступного эксплойта в коде Temple DAO. Протокол Temple «STAX Finance», который обеспечивал пул ликвидности токенов TEMPLE и FRAX, был взломан рано утром во вторник, в результате чего хакер конфисковал токены на сумму 2.3 миллиона долларов.

Давайте посмотрим на то, что мы знаем в первые часы эксплойта.

Вниз идет храм

В протоколе обнаружена уязвимость в функции ставки «migrateStake». блокчейн-аудиторы Паладин. Эксплойт был впервые обнаружен Сприк в Твиттере. Возможно, самая странная часть всего этого заключается в том, что средства, вероятно, были доступны для использования в течение некоторого времени. По словам уважаемого разработчика 0xfoobar, средства были «доступны в сети в течение нескольких месяцев», что оставляло желать лучшего для всех вовлеченных сторон.

Temple DAO, по-видимому, не подвергался аудиту, поскольку код смарт-контракта здесь не соответствовал многомиллионному пулу ликвидности; как сообщают вышеупомянутые ресурсы, эксплойт оказался на удивление простым. Эксплуататор просто использовал старый код вызова ставок и поддельный адрес для вывода средств LP. Уязвимость была доступна для использования в течение нескольких месяцев.

На выходе эксплуататор Temple DAO обменял токены LP на средства ETH. | Источник: ETH-USD на TradingView.com

Подвиги продолжаются

Сыщики уже обнаружили, что кошелек эксплуататора финансировался из кошелька Binance, поэтому вполне возможно, что Binance попытается отследить этот кошелек (STAX сообщил, что они «следят за Binance и инициализируют вознаграждение в белой шляпе для эксплуататора». ). В противном случае, этот недавний эксплойт, к сожалению, просто еще один.

Тем не менее, это далеко не «гвоздь в гроб» для менее известного Temple DAO. Согласно с Дефиллама, общая заблокированная стоимость DAO (TVL) чуть меньше 60 миллионов долларов, поэтому он должен дожить до следующего дня.

Источник: https://bitcoinist.com/temple-dao-exploited-for-2m/