全球快訊:慢霧：GenomesDAO被黑簡(jiǎn)析

(資料圖片)

據(jù)慢霧區(qū)hacktivist消息，MATIC上@GenomesDAO項(xiàng)目遭受黑客攻擊，導(dǎo)致其LPSTAKING合約中資金被非預(yù)期的取出。慢霧安全團(tuán)隊(duì)進(jìn)行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合約的initialized函數(shù)公開(kāi)可調(diào)用且無(wú)權(quán)限與不可能重復(fù)初始化限制，攻擊者利用initialized函數(shù)將合約的stakingToken設(shè)置為攻擊者創(chuàng)建的虛假LP代幣。 2.隨后攻擊者通過(guò)stake函數(shù)進(jìn)行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。 3.獲得憑證后再次通過(guò)initialized函數(shù)將合約的stakingToken設(shè)置為原先真是的LP代幣，隨后通過(guò)withdraw函數(shù)銷毀LPSTAKING憑證獲取合約中真實(shí)的LP抵押物。 4.最后將LP發(fā)送至DEX中移除流動(dòng)性獲利。 本次事件是因?yàn)镚enomesDAO的LPSTAKING合約可被任意重復(fù)初始化設(shè)置關(guān)鍵參數(shù)而導(dǎo)致合約中的抵押物被惡意耗盡。

關(guān)鍵詞： 被黑簡(jiǎn)析 GenomesDAO