วัด DAO ถูกเอารัดเอาเปรียบสำหรับ $2M

แฮ็กเกอร์โจมตีอีกครั้งในสัปดาห์นี้ คราวนี้ด้วยค่าใช้จ่ายในการหาช่องโหว่ที่มีอยู่ในโค้ดของ Temple DAO โปรโตคอล “STAX Finance” ของ Temple ซึ่งจัดหาแหล่งรวมสภาพคล่องของโทเค็น TEMPLE และ FRAX ถูกนำไปใช้ประโยชน์ในช่วงเช้าของวันอังคาร ส่งผลให้มีโทเค็นมูลค่า 2.3 ล้านดอลลาร์ที่แฮ็กเกอร์ยึดได้

มาดูสิ่งที่เรารู้ในช่วงชั่วโมงแรก ๆ ของการเจาะระบบกัน

ลงพระวิหาร

โปรโตคอลประสบกับช่องโหว่ในฟังก์ชัน 'migrateStake' ของการปักหลัก ตาม ผู้ตรวจสอบบล็อกเชน Paladin. การหาประโยชน์ครั้งแรกถูกเรียกโดย สปรีค บนทวิตเตอร์. ส่วนที่แปลกประหลาดที่สุดของเรื่องทั้งหมดก็คือว่าเงินทุนนั้นน่าจะพร้อมสำหรับการใช้จ่ายในบางครั้ง ตาม dev ที่มีชื่อเสียง 0xฟูบาร์เงินดังกล่าว "มีอยู่ในห่วงโซ่เป็นเวลาหลายเดือน" ปล่อยให้ทุกฝ่ายที่เกี่ยวข้องต้องการเพียงเล็กน้อย

ดูเหมือนว่า Temple DAO จะไม่ได้รับการตรวจสอบ เนื่องจากรหัสสัญญาอัจฉริยะที่นี่ไม่เหมาะกับการเรียกเก็บเงินจากแหล่งรวมสภาพคล่องหลายล้านดอลลาร์ เมื่อทรัพยากรดังกล่าวเรียกร้อง การเอารัดเอาเปรียบนั้นง่ายอย่างน่าประหลาดใจ ผู้บุกรุกใช้รหัสการโทรแบบเก่าและที่อยู่ปลอมเพื่อถอนเงิน LP ช่องโหว่นี้พร้อมให้ใช้ประโยชน์เป็นเวลาหลายเดือน

ผู้บุกรุกของ Temple DAO ได้แลกเปลี่ยนโทเค็น LP เป็นกองทุน ETH ระหว่างที่กำลังจะออกไป | แหล่งที่มา: ETH-USD บน TradingView.com

การเอารัดเอาเปรียบดำเนินต่อไป

นักสืบได้ค้นพบแล้วว่ากระเป๋าเงินของผู้บุกรุกได้รับเงินทุนจากกระเป๋าเงิน Binance ดังนั้นจึงค่อนข้างเป็นไปได้ที่ Binance จะตรวจสอบกระเป๋าเงินนั้น (STAX ได้แนะนำว่าพวกเขากำลัง “ติดตาม Binance และจะเริ่มต้นเงินรางวัลหมวกขาวสำหรับผู้โจมตี” ). มิฉะนั้น การหาประโยชน์ครั้งล่าสุดนี้เป็นเพียงการกัดฝุ่นอีกวิธีหนึ่งเท่านั้น โชคไม่ดี

อย่างไรก็ตาม มันอยู่ไกลจาก 'เล็บในโลงศพ' สำหรับ Temple DAO ที่ไม่ค่อยมีคนรู้จัก ตาม เดฟีลามะ, DAO มีมูลค่ารวมที่ถูกล็อค (TVL) เพียง 60 ล้านดอลลาร์ – ดังนั้นจึงควรมีชีวิตอยู่เพื่อดูวันอื่น

ที่มา: https://bitcoinist.com/temple-dao-exploited-for-2m/