Хакер вывел c TempleDAO $2,3 млн

11 октября неизвестный воспользовался ошибкой в смарт-контракте DeFi-проекта TempleDAO и похитил 1831 ETH (~$2,3 млн) в одном из хранилищ стейкинга. Команда пообещала вернуть средства пострадавшим в результате атаки пользователям.

? Temple DAO's https://t.co/kQK1dEfpkQ was exploited 1 hour ago for a total value of $2.3m (1,831 ETH).We have reached out to the team to assist and have contacted Binance which the wallet was funded by.Funds are presently on-chain in eth.https://t.co/jyeEUYyUw1— Paladin Blockchain Security (@0xPaladinSec) October 11, 2022 В серии транзакций злоумышленник вывел в общей сложности 321 154 xLP токенов, обменяв их на 1 262 438 FRAX и 1 418 303 TEMPLE. В дальнейшем он конвертировал последний актив во FRAX.

Причиной эксплойта стали «несколько злоупотреблений» в функции migrateStake. Она позволяет пользователям переносить размещенные токены из более старого контракта. Злоумышленник вызвал функцию с поддельным адресом, предоставив доступ для вывода всех средств из хранилища на свой кошелек вместо нового контракта.

«Эксплойт является одним из самых тривиальных в масштабе за последнее время. […] Контракт развернули более 100 дней назад c уязвимостью, которой воспользовались только сейчас», — говорится в сообщении фирмы Paladin.

Операции производились с зарегистрированного на Binance аккаунта. Представители проекта связались со службой безопасности биржи.

Разработчики рекомендовали воздержаться от депонирования средств в контракты STAX.

Команда пообещала вознаграждение хакеру в случае возврата им украденных средств.

Другие хранилища проекта не затронуты и находятся в безопасности. По данным DeFi Llama, объем заблокированных средств в TempleDAO составляет $109,8 млн.

Напомним, 11 октября неизвестный