Hacker roba más de $ 2 millones de la plataforma DeFi TempleDAO

El día de hoy, la plataforma de agricultura de rendimiento TempleDAO sufrió pérdidas de $ 2 millones después de que un pirata informático violara el protocolo. Este ataque es el último de una serie de exploits en la industria DeFi durante las últimas semanas.

Casi 2000 ETH robados

usuario de Twitter spreekaway vio por primera vez el ataque a través de datos en cadena que compartieron en un tweet. La compañía de seguridad Blockchain Peckshield más tarde confirmado la noticia en su página de Twitter. Según el informe de la empresa, el atacante financió el exploit desde SimpleSwap.

Peckshield notó que el culpable pudo enviar 1,831 ETH, alrededor de $2.34 millones a una billetera criptográfica separada. Otra firma de análisis de blockchain, BlockSec, intervino en el asunto poco después. la empresa correo identificó el punto de entrada del hacker como un control de acceso insuficiente a la función de replanteo «migrateStake».

CertiK también repiqueteo para explicar que la función en cuestión no pudo confirmar si se esperaba la entrada oldStaking.

Como resultado, los atacantes pueden falsificar contratos antiguos para agregar saldos arbitrariamente”.

El atacante aprovecha la apertura en el contrato de replanteo

Los analistas detectaron la vulnerabilidad en el contrato xLPtake para el protocolo STAX Finance de Temple. STAX es una capa de liquidez de tokens Temple y FRAX. La plataforma compartió un actualizar sobre el exploit que TempleDAO volvió a publicar más tarde.

La publicación de STAX Finance indicó que el pirata informático se había llevado 321,154 tokens xLP del contrato de participación vulnerable. Luego convirtieron los fondos en 1,418,303 tokens de $TEMPLE y 1,262,438 $FRAX intercambiando tokens de TEMPLE por FRAX.

El subproceso STAX aclaró que, de hecho, había una verificación de onlyMigrator ausente. En la publicación, el equipo advirtió a los usuarios que evitaran realizar depósitos en contratos STAX hasta que resolvieran el problema. También eliminaron la dApp para asegurarse de que los usuarios no la usaran accidentalmente.

TempleDAO reveló que estaban trabajando con Binance y tenían planes de implementar una recompensa de sombrero blanco para el atacante.

Estamos aumentando nuestra recompensa existente con Hats Finance y estableciendo comunicaciones seguras si el hacker elige devolver los fondos y recibir una recompensa legal”, dice la publicación.

TempleDAO se une a la lista de plataformas DeFi explotadas

El conocido desarrollador 0xfoobar también habló sobre el hackeo en Twitter, describiéndolo como el «más triste» que jamás habían visto. Según el desarrollador, la brecha en el código había estado allí durante meses, lo que significa que el ataque podría haber ocurrido mucho antes.

este truco de TEMPLE tiene que ser el más triste que he visto hasta ahora. Se perdieron $ 2 millones, estuvo disponible en cadena durante meses, no pusieron modificadores de control de acceso en una función «migrar Retirar» que le permite especificar una dirección arbitraria pic.twitter.com/usF96Jcr21

– foobar (@0xfoobar) 11 de octubre de 2022

Estoy avergonzado tanto del equipo de desarrollo como de los explotadores”, dijo 0xfoobar.

Luego agregaron que la vulnerabilidad no debería haber pasado desapercibida durante tanto tiempo ni para el equipo ni para el pirata informático.

En las últimas semanas, el espacio DeFi ha sufrido una serie de exploits. Entre los más recientes se encuentran Transit Swap y Invierno mudo, las plataformas experimentaron una pérdida combinada de casi 200 millones de dólares. La cadena BNB de Binance era una objetivo la semana pasada, el pirata informático pudo retirar $ 570 millones, pero solo pudo llevarse $ 110 millones.