Kabut Lambat: GenomesDAO diretas, mengakibatkan penarikan dana tak terduga dalam kontrak LPSTAKING-nya

Menurut peretas di Slow Mist, proyek @GenomesDAO di Polygon diretas, mengakibatkan penarikan dana yang tidak terduga dalam kontrak LPSTAKING-nya. Alasan insiden ini adalah bahwa kontrak LPSTAKING GenomesDAO dapat diinisialisasi secara sewenang-wenang dan berulang kali untuk mengatur parameter kunci, menyebabkan agunan dalam kontrak habis secara jahat. Tim keamanan SlowMist menganalisis sebagai berikut: 1. Karena fungsi yang diinisialisasi dari kontrak LPSTAKING GenomesDAO dapat dipanggil secara publik dan tidak memiliki izin serta tidak dapat diinisialisasi ulang, penyerang menggunakan fungsi yang diinisialisasi untuk menyetel stakingToken kontrak ke token LP palsu yang dibuat oleh penyerang. 2. Kemudian penyerang menggunakan fungsi pasak untuk menggadaikan token LP palsu untuk mendapatkan sertifikat hipotek LPSTAKING dalam jumlah besar. 3. Setelah mendapatkan sertifikat, atur stakingToken dari kontrak ke token LP nyata asli melalui fungsi yang diinisialisasi lagi, lalu hancurkan sertifikat LPSTAKING melalui fungsi penarikan untuk mendapatkan agunan LP nyata dalam kontrak. 4. Terakhir, kirim LP ke DEX untuk menghilangkan likuiditas demi keuntungan.