安全团队:GenomesDAO遭攻击因合约可被任意重复初始化设置关键参数

현재 언어 번역이 없어 원문을 표시합니다.

PANews 8月6日消息,Polygon生态项目GenomesDAO遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下:

1. 由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2. 随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。

3. 获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4. 最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

공유하기:

작성자: PA一线

이 내용은 시장 정보 제공만을 목적으로 하며, 투자 조언을 구성하지 않습니다.

PANews 공식 계정을 팔로우하고 함께 상승장과 하락장을 헤쳐나가세요
PANews APP
白B.AI 사용자 규모 200만 돌파, AI 역량의 생산적 가치 전환 지속 추진
PANews 속보