Explotaciones de contratos inteligentes en abril

Vida del océano | Monto perdido: $ 11K

El token Ocean Life en la cadena BNB ha sido explotado por $ 11K. El atacante inicialmente tomó prestado BNB envuelto usando préstamos flash e intercambió estos fondos para obtener tokens de $OLIFE. El contrato de explotación tenía una vulnerabilidad en la que el estado del saldo total no se actualizaba internamente antes de que se realizara una llamada externa. La función reflectFee privada había reducido el valor total a 969 WBNB en tokens OLIFE. Sin embargo, el saldo del grupo no se actualizó correctamente y el atacante pudo intercambiar 1001 WBNB y obtener una ganancia de 34 WBNB.

Cien Finanzas | Monto perdido: $ 7 millones

Un ataque a Hundred Finance resultó en una pérdida de $ 7 millones. El hacker usó préstamos rápidos y donó 500 WBTC al contrato CErc20 de Hundred Finance, con la intención de manipular el tipo de cambio de Hundred WBTC (hWBTC). El contrato de ataque depositó los fondos de WBTC en contratos secundarios, que se utilizan para acuñar hWBTC.

Posteriormente, el contrato secundario canjeó casi todos los fondos de WBTC, excepto 2 wei, lo que provocó que el suministro total de hWBTC fuera de 2 wei. Luego, el atacante donó 500 WBTC al contrato CErc20 de Hundred, que infló el tipo de cambio a casi 1 wei hWBTC = 250 WBTC.

Aprovechando esta tasa inflada, el atacante tomó prestados 1022 WETH con 2 wei de activos subyacentes. Después de tomar prestados los fondos WETH, el atacante pudo retirar los 500 WBTC que se donaron previamente al contrato CErc20 de Hundred debido a un error de redondeo y, finalmente, reembolsó el préstamo flash.

Añoranza Finanzas | Monto perdido: $ 11 millones

Yield Finance sufrió una explotación esta mañana, lo que resultó en pérdidas potencialmente superiores a $ 11 millones debido a una configuración incorrecta en su contrato yUSDT. El atacante prestó rápidamente DAI , USDC y USDT y usó algunos de los fondos para pagar las deudas de otras personas en el grupo de préstamos Aave v1, lo que redujo la prioridad del grupo Aave dentro del contrato de Yearn.

El contrato de Yearn contenía una dirección de contrato de prestamista codificada para Fulcrum que usaba iUSDC como activo subyacente en lugar de iUSDT. Esto hizo que el contrato de rendimiento calculara mal la relación rendimiento-depósito. El atacante pudo acuñar una cantidad excesiva de yUSDT depositando una pequeña cantidad de USDT. Luego, el atacante cambió yUSDT a DAI y ETH.

Metapunto | Monto perdido: $ 920K

MetaPoint en BNB Chain sufrió un hackeo de $920K debido a una vulnerabilidad en su función de contrato de depósito. El exploit ocurrió porque cada vez que un usuario depositaba $ POT en el grupo, se generaba un nuevo contrato inteligente y se depositaban tokens de $ META. El nuevo contrato inteligente tenía una función de aprobación pública que permitía el acceso sin restricciones a los tokens depositados, lo que permitía al atacante drenarlos. El equipo de MetaPoint anunció el hackeo y suspendió todas las operaciones.

Paribús | Monto perdido: $ 20K

Un ataque a Paribus resultó en la pérdida de aproximadamente $20,000. El atacante tomó prestados 200 ETH y 30 000 USDT mediante un préstamo flash y depositó los tokens en el protocolo Paribus. Los fondos depositados se usaron como garantía para pedir prestado ETH adicional del grupo de pETH. El atacante explotó una vulnerabilidad de reingreso durante la función de canje de pToken. De acuerdo con la actualización Post-Mortem de Paribus, el modificador no reentrante no pudo actualizar el almacenamiento antes de la transferencia. El atacante pudo tomar prestados fondos adicionales mientras el saldo de pETH depositado permaneció sin cambios.

¿Interesado en aprender más sobre Olympix?

Olympix es un cambio de paradigma en la protección Web3. Ofrece detección proactiva, lo que le permite identificar y priorizar las vulnerabilidades de los contratos inteligentes mientras codifica. Su naturaleza intuitiva hace que la seguridad sea una parte integral del proceso de desarrollo, con un pensamiento de seguridad primero integrado en cada etapa.

Aquí hay algunos enlaces para empezar:

https://www.olympix.ai/ - Nuestro sitio web donde puede registrarse para unirse a nuestro Beta / Discord https://twitter.com/Olympix_ai - Obtenga actualizaciones sobre exploits, actualizaciones de productos

https://tinyurl.com/3fwyhpub - Boletín informativo del 25 de abril, suscríbase para obtener más