(資料圖片)

據(jù)慢霧區(qū)hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導(dǎo)致其LPSTAKING合約中資金被非預(yù)期的取出。慢霧安全團隊進行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合約的initialized函數(shù)公開可調(diào)用且無權(quán)限與不可能重復(fù)初始化限制，攻擊者利用initialized函數(shù)將合約的stakingToken設(shè)置為攻擊者創(chuàng)建的虛假LP代幣。 2.隨后攻擊者通過stake函數(shù)進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。 3.獲得憑證后再次通過initialized函數(shù)將合約的stakingToken設(shè)置為原先真是的LP代幣，隨后通過withdraw函數(shù)銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。 4.最后將LP發(fā)送至DEX中移除流動性獲利。 本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復(fù)初始化設(shè)置關(guān)鍵參數(shù)而導(dǎo)致合約中的抵押物被惡意耗盡。

關(guān)鍵詞： 被黑簡析 GenomesDAO