據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊分析如下: 1. 由於GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重複初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。 2. 隨後攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。 3. 獲得憑證後再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨後通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。 4. 最後將LP發送至DEX中移除流動性獲利。本次事件是因為GenomesDAO的LPSTAKING合約可被任意重複初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。
dark