paint-brush
5 स्मार्ट कॉन्ट्रैक्ट हैक्स जिनसे सभी को सीखना चाहिएद्वारा@olympix
719 रीडिंग
719 रीडिंग

5 स्मार्ट कॉन्ट्रैक्ट हैक्स जिनसे सभी को सीखना चाहिए

द्वारा Olympix.ai3m2023/04/27
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

सेंटीमेंट प्रोटोकॉल पर हमले के परिणामस्वरूप लगभग 1 मिलियन डॉलर मूल्य के विभिन्न टोकन और स्टैब्लॉक्स का नुकसान हुआ। ओलंपिक्स ने लापता चेक भेद्यताओं के परिणामस्वरूप अचानक ऋण हमलों से बचाने के लिए एक उपकरण विकसित किया है। ओलंपिक्स टूल पूरे कोड बेस में विसंगतियों का पता लगाने के लिए स्थिर कोड विश्लेषण, पारंपरिक आंकड़े और एआई का उपयोग करता है।
featured image - 5 स्मार्ट कॉन्ट्रैक्ट हैक्स जिनसे सभी को सीखना चाहिए
Olympix.ai HackerNoon profile picture
0-item
1-item

हैक्स विश्लेषण

1. यूलर फाइनेंस | खोई हुई राशि: $197M

हमलावर ने DAI को उधार लेने के लिए एक त्वरित ऋण का उपयोग किया और eDAI और dDAI को उधार लेने के लिए यूलर प्रोटोकॉल का लाभ उठाया। DoneToReserves फ़ंक्शन में भेद्यता का शोषण करके, हमलावर परिसमापन प्रक्रिया शुरू करने और उससे लाभ प्राप्त करने में सक्षम था। यह भेद्यता DoneToReserves फ़ंक्शन में अनुपलब्ध चेकलिक्विडिटी चरण के कारण थी, जिससे उपयोगकर्ता परिसमापन की स्थिति में प्रवेश कर सकते हैं और परिसमापन प्रक्रिया को पूरा कर सकते हैं।


ओलंपिक्स ने लापता चेक भेद्यताओं के परिणामस्वरूप अचानक ऋण हमलों से बचाने के लिए एक उपकरण विकसित किया है। ये भेद्यताएं और परिणामी हमले वाले वैक्टर डेफी इकोसिस्टम में तेजी से सामान्य और खतरनाक हो गए हैं। ओलम्पिक्स टूल स्टैटिक कोड एनालिसिस, ट्रेडिशनल स्टैटिस्टिक्स और AI का इस्तेमाल कोड बेस में विसंगतियों का पता लगाने के लिए कोड बेस की खुद से तुलना करके करता है।

2. सेंटीमेंट प्रोटोकॉल | खोई हुई राशि: $1M

सेंटीमेंट प्रोटोकॉल पर हमले के परिणामस्वरूप लगभग $1 मिलियन मूल्य के विभिन्न टोकन और स्टैब्लॉक्स का नुकसान हुआ। हमलावर ने 606 WBTC, 10,050 WETH, और 18 मिलियन USDC एक त्वरित ऋण का उपयोग करके उधार लिए, और इन टोकन को सेंटिमेंट पर बैलेंसर पूल में जमा कर दिया। हमलावर ने जमा किए गए टोकन को अपने खाते में वापस स्थानांतरित करने के लिए एग्जिटपूल फ़ंक्शन के दौरान एक पुनर्प्रवेश भेद्यता का शोषण किया, जिससे पूल टोकन की कुल आपूर्ति में कमी आई लेकिन टोकन शेष स्थिति समान रही। संपार्श्विक के रूप में पूल टोकन के फुलाए हुए मूल्य का उपयोग करके शोषण अनुबंध ने पुनरावर्ती रूप से उधार ली गई संपत्ति। सेंटीमेंट ने हमले की जांच करना जारी रखा है और हमले में उपयोग की गई भेद्यता को दूर करने के लिए एक समाधान लागू किया है।

3. पूल्ज़ फाइनेंस | खोई हुई राशि: $500K

हमलावर ने CreateMassPools () विधि को लागू करके और GetArraySum () विधि का उपयोग करके सरणी में एक अतिप्रवाह पैदा करके स्मार्ट अनुबंध में भेद्यता का उपयोग किया। इसने हमलावर को पूल में तरलता स्थापित करने के लिए TransferInToken() फ़ंक्शन का उपयोग करने और निकासी सुविधा का उपयोग करके प्राप्त टोकन वापस लेने की अनुमति दी।

4. सफमून | खोई हुई राशि: $8.9M

हैकर ने Safemoon अनुबंध में एक सार्वजनिक बर्न ()* फ़ंक्शन का शोषण किया, जिसने किसी भी उपयोगकर्ता को किसी अन्य पते से टोकन बर्न करने की अनुमति दी। इस फ़ंक्शन का उपयोग एसएफएम टोकन को तरलता पूल से निकालने के लिए किया गया था, उनकी कीमत कृत्रिम रूप से बढ़ा दी गई थी और हमलावर को उन्हें लाभ पर पूल में वापस बेचने की अनुमति दी गई थी।


* एक बर्न () फ़ंक्शन ब्लॉकचेन पर मौजूद टोकन या सिक्कों को नष्ट करने की अनुमति देता है। जब टोकन "जला" जाते हैं, तो वे स्थायी रूप से संचलन से हटा दिए जाते हैं, जिससे टोकन की कुल आपूर्ति कम हो जाती है।

5. हेडेरा | खोई हुई राशि: $515K

एक हमलावर ने एक दुर्भावनापूर्ण अनुबंध को लागू करने के लिए एक संदिग्ध पते का उपयोग किया, जिसने विभिन्न पूलों से संपत्ति चुरा ली। हमला हेडेरा के मेननेट स्मार्ट कॉन्ट्रैक्ट सर्विस कोड पर था, जिसके परिणामस्वरूप पीड़ित के खाते से हमलावर के खाते में हेडेरा टोकन सेवा टोकन का स्थानांतरण हुआ। लक्षित खाते कई विकेन्द्रीकृत एक्सचेंजों पर थे जो पैंगोलिन, सॉसरस्वैपलैब्स और हेलीस्वैप_DEX सहित Uniswap v2-व्युत्पन्न अनुबंध कोड का उपयोग करते थे।

अन्वेषण करना

ओलंपिक्स घोषणाएँ

हम ओलम्पिक टूल के बारे में नए अपडेट साझा करने के लिए उत्साहित हैं;


  • हमारा टूल अब कोड आधार में विसंगतियों की पहचान करने के लिए स्थिर कोड विश्लेषण, पारंपरिक आंकड़ों और एआई के संयोजन का उपयोग करता है, जो स्वयं के खिलाफ तुलना करके प्रदर्शन करता है, जो लापता चेक कमजोरियों के कारण होने वाले फ्लैश लोन हमलों से बचाव में मदद करता है। एपीआई कॉल के जरिए इस सुविधा तक पहुंचा जा सकता है।
  • ओलंपिक्स यह पता लगा सकता है कि क्या कोई अनुबंध अपग्रेड करने योग्य या प्रॉक्सी है, जो अधिक क्यूरेटेड और सटीक परिणामों की अनुमति देता है।
  • हमने कमजोरियों को तुरंत ठीक करने के लिए अतिरिक्त पैचिंग क्षमताएं जोड़ी हैं।


ओलंपिक्स के बारे में अधिक जानने में रुचि है?

आरंभ करने के लिए यहां कुछ लिंक दिए गए हैं:

  • https://www.olympix.ai/ - हमारी वेबसाइट जहां आप हमारे बीटा/डिस्कॉर्ड में शामिल होने के लिए साइन अप कर सकते हैं
  • https://twitter.com/Olympix_ai - कारनामे, उत्पाद अपडेट पर अपडेट प्राप्त करें
  • https://t.co/jeLkihA1Fa। - न्यूज़लेटर #1, अधिक के लिए सदस्यता लें।


यहाँ भी प्रकाशित हुआ।