paint-brush
5 Smart Contract Hacks dont tout le monde devrait apprendrepar@olympix
719 lectures
719 lectures

5 Smart Contract Hacks dont tout le monde devrait apprendre

par Olympix.ai3m2023/04/27
Read on Terminal Reader

Trop long; Pour lire

Une attaque contre Sentiment Protocol a entraîné la perte de près d'un million de dollars de divers jetons et stablecoins. Olympix a développé un outil pour se protéger contre les attaques de prêt flash résultant de vulnérabilités de chèque manquant. L'outil Olympix utilise l'analyse de code statique, les statistiques traditionnelles et l'IA pour détecter les anomalies dans la base de code.
featured image - 5 Smart Contract Hacks dont tout le monde devrait apprendre
Olympix.ai HackerNoon profile picture
0-item
1-item

Analyses de piratage

1. Euler Finances | Montant perdu : 197 millions de dollars

L'attaquant a utilisé un prêt flash pour emprunter DAI et a utilisé le protocole Euler pour emprunter eDAI et dDAI. En exploitant une vulnérabilité dans la fonction donateToReserves, l'attaquant a pu lancer le processus de liquidation et en tirer profit. La vulnérabilité était due à l'étape checkLiquidity manquante dans la fonction donateToReserves, permettant aux utilisateurs d'entrer dans un état de liquidation et de terminer le processus de liquidation.


Olympix a développé un outil pour se protéger contre les attaques de prêt flash résultant de vulnérabilités de chèque manquant. Ces vulnérabilités et les vecteurs d'attaque qui en résultent sont devenus de plus en plus courants et dangereux dans l'écosystème defi. L'outil Olympix utilise l'analyse de code statique, les statistiques traditionnelles et l'IA pour détecter les anomalies dans la base de code en comparant la base de code à elle-même.

2. Protocole des sentiments | Montant perdu : 1 million de dollars

Une attaque contre Sentiment Protocol a entraîné la perte de près d'un million de dollars de divers jetons et stablecoins. L'attaquant a emprunté 606 WBTC, 10 050 WETH et 18 millions USDC en utilisant un prêt flash, et a déposé ces jetons dans le pool Balancer sur Sentiment. L'attaquant a exploité une vulnérabilité de réentrance lors de la fonction exitPool pour transférer les jetons déposés sur son compte, ce qui a diminué l'offre totale du jeton de pool, mais l'état du solde des jetons est resté le même. Le contrat d'exploitation a emprunté des actifs de manière récursive en utilisant le prix gonflé du jeton de pool comme garantie. Sentiment continue d'enquêter sur l'attaque et a mis en place un correctif pour corriger la vulnérabilité exploitée dans l'attaque.

3. Poolz Finances | Montant perdu : 500 000 $

L'attaquant a utilisé une vulnérabilité dans le contrat intelligent en invoquant la méthode CreateMassPools() et en provoquant un débordement dans le tableau à l'aide de la méthode GetArraySum(). Cela a permis à l'attaquant d'utiliser la fonction TransferInToken() pour établir des liquidités dans le pool et retirer les jetons gagnés à l'aide de la fonction de retrait.

4. Safemoon | Montant perdu : 8,9 M$

Le pirate a exploité une fonction publique burn()* dans le contrat Safemoon, qui permettait à tout utilisateur de graver des jetons à partir de n'importe quelle autre adresse. Cette fonction a été utilisée pour supprimer les jetons SFM du pool de liquidités, augmentant artificiellement leur prix et permettant à l'attaquant de les revendre au pool avec un profit.


*Une fonction burn() permet la destruction de jetons ou de pièces qui existent sur une blockchain. Lorsque les jetons sont "brûlés", ils sont définitivement retirés de la circulation, ce qui diminue l'offre totale du jeton.

5. Hédera | Montant perdu : 515 000 $

Un attaquant a utilisé une adresse suspecte pour déployer un contrat malveillant qui a volé des actifs de divers pools. L'attaque a porté sur le code du service de contrat intelligent du réseau principal de Hedera, ce qui a entraîné le transfert des jetons Hedera Token Service des comptes des victimes vers le compte de l'attaquant. Les comptes ciblés se trouvaient sur plusieurs échanges décentralisés qui utilisaient le code de contrat dérivé d'Uniswap v2, notamment Pangolin, SaucerSwapLabs et HeliSwap_DEX.

Explorer

Annonces Olympix

Nous sommes ravis de partager de nouvelles mises à jour sur l'outil Olympix ;


  • Notre outil utilise désormais une combinaison d'analyse de code statique, de statistiques traditionnelles et d'IA pour identifier les anomalies dans la base de code en effectuant des comparaisons avec lui-même, ce qui aide à se protéger contre les attaques de prêt flash causées par des vulnérabilités de vérification manquantes. Cette fonctionnalité est accessible via un appel API.
  • Olympix peut détecter si un contrat est une mise à niveau ou un proxy, permettant des résultats plus précis et plus précis.
  • Nous avons ajouté des fonctionnalités de correctifs supplémentaires pour corriger rapidement les vulnérabilités.


Vous souhaitez en savoir plus sur Olympix ?

Voici quelques liens pour vous aider à démarrer :


Également publié ici.