paint-brush
Explotaciones de contratos inteligentes en abrilpor@olympix
502 lecturas
502 lecturas

Explotaciones de contratos inteligentes en abril

por Olympix.ai3m2023/04/27
Read on Terminal Reader

Demasiado Largo; Para Leer

El token Ocean Life en la cadena BNB ha sido explotado por $ 11K. Un ataque a Hundred Finance resultó en una pérdida de $ 7M. Yield Finance sufrió una explotación esta mañana, lo que resultó en pérdidas potencialmente superiores a $ 11 millones debido a una configuración incorrecta en su contrato yUSDT.
featured image - Explotaciones de contratos inteligentes en abril
Olympix.ai HackerNoon profile picture
0-item


Vida del océano | Monto perdido: $ 11K

El token Ocean Life en la cadena BNB ha sido explotado por $ 11K. El atacante inicialmente tomó prestado BNB envuelto usando préstamos flash e intercambió estos fondos para obtener tokens de $OLIFE. El contrato de explotación tenía una vulnerabilidad en la que el estado del saldo total no se actualizaba internamente antes de que se realizara una llamada externa. La función reflectFee privada había reducido el valor total a 969 WBNB en tokens OLIFE. Sin embargo, el saldo del grupo no se actualizó correctamente y el atacante pudo intercambiar 1001 WBNB y obtener una ganancia de 34 WBNB.




Contrato de explotación (Cadena BNB): 0xb5a0ce3acd6ec557d39afdcbc93b07a1e1a9e3fa

Hash de transacción (Cadena BNB): 0xa21692ffb561767a74a4cbd1b78ad48151d710efab723b1efa5f1e0147caab0a


Cien Finanzas | Monto perdido: $ 7 millones

Un ataque a Hundred Finance resultó en una pérdida de $ 7 millones. El hacker usó préstamos rápidos y donó 500 WBTC al contrato CErc20 de Hundred Finance, con la intención de manipular el tipo de cambio de Hundred WBTC (hWBTC). El contrato de ataque depositó los fondos de WBTC en contratos secundarios, que se utilizan para acuñar hWBTC.


Posteriormente, el contrato secundario canjeó casi todos los fondos de WBTC, excepto 2 wei, lo que provocó que el suministro total de hWBTC fuera de 2 wei. Luego, el atacante donó 500 WBTC al contrato CErc20 de Hundred, que infló el tipo de cambio a casi 1 wei hWBTC = 250 WBTC.


Aprovechando esta tasa inflada, el atacante tomó prestados 1022 WETH con 2 wei de activos subyacentes. Después de tomar prestados los fondos WETH, el atacante pudo retirar los 500 WBTC que se donaron previamente al contrato CErc20 de Hundred debido a un error de redondeo y, finalmente, reembolsó el préstamo flash.



Contrato de explotación (Optimismo): 0x74b8932801bfbf63B44b001d77e62c808B1e2d12

Hash de transacción (Optimismo): 0x6e9ebcdebbabda04fa9f2e3bc21ea8b2e4fb4bf4f4670cb8483e2f0b2604f451


Añoranza Finanzas | Monto perdido: $ 11 millones

Yield Finance sufrió una explotación esta mañana, lo que resultó en pérdidas potencialmente superiores a $ 11 millones debido a una configuración incorrecta en su contrato yUSDT. El atacante prestó rápidamente DAI , USDC y USDT y usó algunos de los fondos para pagar las deudas de otras personas en el grupo de préstamos Aave v1, lo que redujo la prioridad del grupo Aave dentro del contrato de Yearn.


El contrato de Yearn contenía una dirección de contrato de prestamista codificada para Fulcrum que usaba iUSDC como activo subyacente en lugar de iUSDT. Esto hizo que el contrato de rendimiento calculara mal la relación rendimiento-depósito. El atacante pudo acuñar una cantidad excesiva de yUSDT depositando una pequeña cantidad de USDT. Luego, el atacante cambió yUSDT a DAI y ETH.



Contrato de explotación: 0x83f798e925BcD4017Eb265844FDDAbb448f1707D


Metapunto | Monto perdido: $ 920K

MetaPoint en BNB Chain sufrió un hackeo de $920K debido a una vulnerabilidad en su función de contrato de depósito. El exploit ocurrió porque cada vez que un usuario depositaba $ POT en el grupo, se generaba un nuevo contrato inteligente y se depositaban tokens de $ META. El nuevo contrato inteligente tenía una función de aprobación pública que permitía el acceso sin restricciones a los tokens depositados, lo que permitía al atacante drenarlos. El equipo de MetaPoint anunció el hackeo y suspendió todas las operaciones.



Uno de los contratos inteligentes explotados con la función de aprobación(): 0x086f403461478F6aE7b81d9654f96f65AbDfAC29


Paribús | Monto perdido: $ 20K

Un ataque a Paribus resultó en la pérdida de aproximadamente $20,000. El atacante tomó prestados 200 ETH y 30 000 USDT mediante un préstamo flash y depositó los tokens en el protocolo Paribus. Los fondos depositados se usaron como garantía para pedir prestado ETH adicional del grupo de pETH. El atacante explotó una vulnerabilidad de reingreso durante la función de canje de pToken. De acuerdo con la actualización Post-Mortem de Paribus, el modificador no reentrante no pudo actualizar el almacenamiento antes de la transferencia. El atacante pudo tomar prestados fondos adicionales mientras el saldo de pETH depositado permaneció sin cambios.


¿Interesado en aprender más sobre Olympix?

Olympix es un cambio de paradigma en la protección Web3. Ofrece detección proactiva, lo que le permite identificar y priorizar las vulnerabilidades de los contratos inteligentes mientras codifica. Su naturaleza intuitiva hace que la seguridad sea una parte integral del proceso de desarrollo, con un pensamiento de seguridad primero integrado en cada etapa.


Aquí hay algunos enlaces para empezar:

https://www.olympix.ai/ - Nuestro sitio web donde puede registrarse para unirse a nuestro Beta / Discord https://twitter.com/Olympix_ai - Obtenga actualizaciones sobre exploits, actualizaciones de productos

https://tinyurl.com/3fwyhpub - Boletín informativo del 25 de abril, suscríbase para obtener más



También publicado aquí .