5 hacks de contratos inteligentes que todos deveriam aprender

Análises de hacks

1. Euler Finance | Valor perdido: US$ 197 milhões

O invasor usou um empréstimo flash para emprestar DAI e alavancou o protocolo Euler para emprestar eDAI e dDAI. Ao explorar uma vulnerabilidade na função donateToReserves, o invasor conseguiu iniciar o processo de liquidação e lucrar com isso. A vulnerabilidade ocorreu devido à falta da etapa checkLiquidity na função donateToReserves, permitindo que os usuários entrassem em um estado de liquidação e concluíssem o processo de liquidação.

A Olympix desenvolveu uma ferramenta para proteção contra ataques de empréstimos instantâneos resultantes de vulnerabilidades de cheques ausentes. Essas vulnerabilidades e os vetores de ataque resultantes tornaram-se cada vez mais comuns e perigosos em todo o ecossistema defi. A ferramenta Olympix usa análise de código estático, estatísticas tradicionais e IA para detectar anomalias em toda a base de código, comparando a base de código com ela mesma.

2. Protocolo de sentimento | Valor perdido: US$ 1 milhão

Um ataque ao Sentiment Protocol resultou na perda de quase US$ 1 milhão em vários tokens e stablecoins. O invasor emprestou 606 WBTC, 10.050 WETH e 18 milhões de USDC usando um empréstimo instantâneo e depositou esses tokens no pool do Balancer no Sentiment. O invasor explorou uma vulnerabilidade de reentrada durante a função exitPool para transferir de volta os tokens depositados para sua conta, o que diminuiu o suprimento total do token do pool, mas o estado do saldo do token permaneceu o mesmo. O contrato de exploração emprestou ativos recursivamente usando o preço inflado do token do pool como garantia. A Sentiment continua investigando o ataque e implementou uma correção para resolver a vulnerabilidade explorada no ataque.

3. Poolz Finance | Valor perdido: $ 500.000

O invasor usou uma vulnerabilidade no contrato inteligente invocando o método CreateMassPools() e causando um estouro na matriz usando o método GetArraySum(). Isso permitiu que o invasor usasse a função TransferInToken() para estabelecer liquidez no pool e retirar os tokens ganhos usando o recurso de retirada.

4. Lua Segura | Valor perdido: US$ 8,9 milhões

O hacker explorou uma função pública burn()* no contrato Safemoon, que permitia a qualquer usuário gravar tokens de qualquer outro endereço. Essa função foi usada para remover tokens SFM do pool de liquidez, aumentando seu preço artificialmente e permitindo que o invasor os vendesse de volta ao pool com lucro.

*A função burn() permite a destruição de tokens ou moedas existentes em uma blockchain. Quando os tokens são "queimados", eles são permanentemente retirados de circulação, diminuindo a oferta total do token.

5. Hedera | Valor perdido: $ 515.000

Um invasor usou um endereço suspeito para implantar um contrato malicioso que roubou ativos de vários pools. O ataque ocorreu no código do Smart Contract Service da rede principal da Hedera, que resultou na transferência de tokens do Hedera Token Service das contas das vítimas para a conta do invasor. As contas visadas estavam em várias exchanges descentralizadas que usavam código de contrato derivado do Uniswap v2, incluindo Pangolin, SaucerSwapLabs e HeliSwap_DEX.

Explorar

Anúncios da Olympix

Estamos entusiasmados em compartilhar novas atualizações sobre a ferramenta Olympix;

• Nossa ferramenta agora utiliza uma combinação de análise de código estático, estatísticas tradicionais e IA para identificar anomalias na base de código, realizando comparações com ela mesma, o que ajuda a proteger contra ataques de empréstimos instantâneos causados por vulnerabilidades de cheques ausentes. Esse recurso é acessível por meio de uma chamada de API.
• A Olympix pode detectar se um contrato é atualizável ou proxy, permitindo resultados mais selecionados e precisos.
• Adicionamos recursos adicionais de correção para corrigir vulnerabilidades rapidamente.

Interessado em aprender mais sobre a Olympix?

Aqui estão alguns links para você começar:

• https://www.olympix.ai/ - Nosso site onde você pode se inscrever para participar do nosso Beta / Discord
• https://twitter.com/Olympix_ai - Obtenha atualizações sobre exploits, atualizações de produtos
• https://t.co/jeLkihA1Fa. - Newsletter #1, subscreva para mais.

Também publicado aqui.