安全團隊：GenomesDAO遭攻擊因合約可被任意重復初始化設置關鍵參數_STA:ING

Polygon生態項目GenomesDAO遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊分析如下：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

安全團隊：未經驗證的合約（0xac15ab開頭）存在漏洞，攻擊者獲利近16萬美元:8月13日消息，據Beosin Alert監測，未經驗證的合約（0xac15ab開頭）存在漏洞，并導致多個地址的損失。

手續費來源于FixedFloat的攻擊者地址（0xb9c77d開頭）已經獲利約 97000美元。目前所有的資金都存放在0x202bad開頭地址。

另一個攻擊者地址（0x7d9bc4開頭）獲利約6萬美元，并將所有被盜資金轉移到Railgun:Relay。[2023/8/13 16:23:30]

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

安全團隊：0x3d1a開頭EOA地址存在可疑活動:金色財經報道，據CertiK監測，EOA地址0x3d1aff0427aec96e75850309811215257753a37e上發生可疑活動，如果用戶無意中授予該EOA地址訪問代幣權限，請及時撤銷。[2023/5/6 14:46:59]

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

安全團隊：FEG項目在以太坊和BNB Chain上遭遇閃電貸攻擊，損失130萬美元:5月16日消息，據CertiK監測，FEG項目在以太坊和BNB Chain上遭遇閃電貸攻擊，其代幣價格下跌超80%，大約130萬美元被轉移。代幣地址為：bsc:0xacfc95585d80ab62f67a14c566c1b7a49fe91167。[2022/5/16 3:19:19]

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。

Tags：STASTAKStakingINGSTARK價格ASTAKE價格Liquid Staking DerivativeeGamingFund

Gate.io