TempleDAO удалила dApp во избежание случайного использования и предлагает хакеру законное вознаграждение за эксплойт.
DeFi протокол Temple DAO потерял более $2,3 млн 11 октября в результате взлома, впервые замеченного пользователем Twitter Spreekaway и подтвержденного аналитической компанией Peckshield.
PeckShieldAlert Похоже, что @templedao подвергся эксплуатации. Эксплойтер получил средства от SimpleSwap и уже перевел 1,831 $ETH (~$2.34M) на новый адрес 0x2B63d…B5A0 @peckshield https://t. co/bOyOARyyxY pic.twitter.com/SVEm8o95U6
— PeckShieldAlert (@PeckShieldAlert) October 11, 2022
По данным Peckshield, хакер финансировал атаку с SimpleSwap и перевел 1 831 ETH на новый адрес, 0x2B63d.
TempleDAO ретвитнул в Twitter тему об эксплойте из DeFi протокола Stax Finance. Согласно этой теме, 321 154 токена xLP были украдены из контракта xLP Staking и конвертированы в 1 418 303 токена $TEMPLE и 1 262 438 $FRAX. Токены TEMPLE также были позже проданы за FRAX.
Выяснилось, что хакер использовал функцию «отсутствующая проверка onlyMigrator» в контракте StaxLPStaking.
Тем временем, TempleDAO удалила dApp во избежание случайного использования. Команда призвала хакера вернуть средства, предложив ему законное вознаграждение за эксплойт.
Другая фирма CertiK, специализирующаяся на безопасности блокчейна, написала, что «причина этой атаки в том, что функция migrateStake не проверяет, ожидается ли ввод oldStaking. В результате злоумышленники могут подделать контракты oldStaking для произвольного добавления баланса. «
Проект @templedao (TEMPLE) был использован для получения ~$2M.
Похоже, что EOA 0x9c9F… получил ~1831 ETH от эксплойта & и перевел средства на 0x2B63….
Более подробная информация об инциденте появится в ближайшее время.
Оставайтесь в безопасности! pic.twitter.com/r7I7XlufPY
— CertiK Alert (@CertiKAlert) Октябрь 11, 2022