Search icon
ReadWrite
see notifications
Notifications
see more
    paint-brush
    誰もが学ぶべき 5 つのスマート コントラクトのハック@olympix
    634 測定値
    634 測定値

    誰もが学ぶべき 5 つのスマート コントラクトのハック

    Olympix.ai3m2023/04/27
    Read on Terminal Reader
    tldt arrow
    en-flagENes-flagEShi-flagHIzh-flagZHvi-flagVIfr-flagFRpt-flagPT
    JA

    長すぎる; 読むには

    センチメント プロトコルへの攻撃により、約 100 万ドル相当のさまざまなトークンとステーブルコインが失われました。 Olympix は、チェック漏れの脆弱性に起因するフラッシュ ローン攻撃から保護するためのツールを開発しました。 Olympix ツールは、静的コード分析、従来の統計、および AI を使用して、コード ベース全体の異常を検出します。
    featured image - 誰もが学ぶべき 5 つのスマート コントラクトのハック
    Olympix.ai HackerNoon profile picture
    0-item
    1-item

    ハッキング分析

    1.オイラーファイナンス |損失額: 1 億 9,700 万ドル

    攻撃者はフラッシュ ローンを使用して DAI を借用し、オイラー プロトコルを利用して eDAI と dDAI を借用しました。 donateToReserves 機能の脆弱性を悪用することで、攻撃者は清算プロセスを開始し、そこから利益を得ることができました。この脆弱性は、donateToReserves 関数に checkLiquidity ステップが欠落しているため、ユーザーが清算状態に入り、清算プロセスを完了することができることが原因でした。


    Olympix は、チェック漏れの脆弱性に起因するフラッシュ ローン攻撃から保護するためのツールを開発しました。これらの脆弱性とその結果生じる攻撃ベクトルは、defi エコシステム全体でますます一般的になり、危険になっています。 Olympix ツールは、静的コード分析、従来の統計、および AI を使用して、コード ベースをそれ自体と比較することにより、コード ベース全体の異常を検出します。

    2. 感情プロトコル |損失額: 100 万ドル

    センチメント プロトコルへの攻撃により、約 100 万ドル相当のさまざまなトークンとステーブルコインが失われました。攻撃者はフラッシュ ローンを使用して 606 WBTC、10,050 WETH、および 1800 万 USDC を借り入れ、これらのトークンを Sentiment の Balancer プールに預け入れました。攻撃者は、exitPool 機能中に再入可能な脆弱性を悪用して、デポジットされたトークンを自分のアカウントに戻しました。これにより、プール トークンの総供給量が減少しましたが、トークン残高の状態は変わりませんでした。エクスプロイト コントラクトは、プール トークンの高騰した価格を担保として再帰的に資産を借りました。センチメントは攻撃の調査を続けており、攻撃で悪用された脆弱性に対処するための修正を実装しました。

    3. プールズ・ファイナンス |損失額: $500,000

    攻撃者は、スマート コントラクトの脆弱性を利用して、CreateMassPools() メソッドを呼び出し、GetArraySum() メソッドを使用して配列にオーバーフローを引き起こしました。これにより、攻撃者は TransferInToken() 関数を使用してプールに流動性を確立し、引き出し機能を使用して獲得したトークンを引き出すことができました。

    4. セーフムーン |損失額: 890 万ドル

    ハッカーは Safemoon コントラクトのpublic burn()*関数を悪用し、どのユーザーも他のアドレスからトークンをバーンできるようにしました。この関数は、流動性プールから SFM トークンを削除するために使用され、人為的に価格を引き上げ、攻撃者がプールに売却して利益を得られるようにしました。


    *burn() 関数により、ブロックチェーン上に存在するトークンまたはコインを破棄できます。トークンが「バーン」されると、永久に流通から削除され、トークンの総供給量が減少します。

    5. ヘデラ |損失額: $515,000

    攻撃者は疑わしいアドレスを使用して、さまざまなプールから資産を盗む悪意のあるコントラクトを展開しました。攻撃は Hedera のメインネットの Smart Contract Service コードに対するもので、その結果、Hedera Token Service トークンが被害者のアカウントから攻撃者のアカウントに転送されました。標的となったアカウントは、Pangolin、SaucerSwapLabs、HeliSwap_DEX など、Uniswap v2 由来のコントラクト コードを使用する複数の分散型取引所にありました。

    探検

    オリンピックのお知らせ

    Olympix ツールに関する最新情報を共有できることを嬉しく思います。


    • 私たちのツールは現在、静的コード分析、従来の統計、および AI を組み合わせて使用し、それ自体と比較してコード ベースの異常を特定します。この機能は、API 呼び出しを介してアクセスできます。
    • Olympix は、契約がアップグレード可能かプロキシかを検出できるため、より精選された正確な結果を得ることができます。
    • 脆弱性を迅速に修正するために、追加のパッチ機能を追加しました。


    オリンピックについてもっと知りたいですか?

    開始するためのリンクを次に示します。


    こちらにも掲載。

    CoinGecko
    L O A D I N G
    . . . comments & more!

    About Author

    Olympix.ai HackerNoon profile picture
    Olympix.ai@olympix
    Olympix is a DevSecOps tool that puts security in the hands of the developer by proactively securing code from day one.
    Read my stories

    ラベル

    purcat-imgweb3 #smart-contracts #web3 #security #solidity #devtools #good-company #blockchain-security #hacks

    Languages

    hackernoon-top-storyEnglishhackernoon-esEspañolhackernoon-ja日本語hackernoon-frFrançaishackernoon-hiहिंदीhackernoon-viTiếng Việthackernoon-ptPortuguêshackernoon-zh中国人

    この記事は...

    Read on Terminal Reader Terminal
    Read this story w/o Javascript Lite

    関連ストーリー

    Article Thumbnail
    ワンページの利点: ソフトウェア エンジニアリング プロジェクト用のテンプレート
    by vlshahane
    Jan 01, 1970
    #team-management
    Article Thumbnail
    5 Twitter Batch Operations with a few Lines of Javascript
    by elshor
    Jan 01, 1970
    #nodejs
    Article Thumbnail
    効果的なプロンプトを作成し、AIを最大限に活用する方法
    by acwriter
    Jan 01, 1970
    #writing-prompts
    Join HackerNoonloading
    Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas