O invasor usou um empréstimo flash para emprestar DAI e alavancou o protocolo Euler para emprestar eDAI e dDAI. Ao explorar uma vulnerabilidade na função donateToReserves, o invasor conseguiu iniciar o processo de liquidação e lucrar com isso. A vulnerabilidade ocorreu devido à falta da etapa checkLiquidity na função donateToReserves, permitindo que os usuários entrassem em um estado de liquidação e concluíssem o processo de liquidação.
A Olympix desenvolveu uma ferramenta para proteção contra ataques de empréstimos instantâneos resultantes de vulnerabilidades de cheques ausentes. Essas vulnerabilidades e os vetores de ataque resultantes tornaram-se cada vez mais comuns e perigosos em todo o ecossistema defi. A ferramenta Olympix usa análise de código estático, estatísticas tradicionais e IA para detectar anomalias em toda a base de código, comparando a base de código com ela mesma.
Um ataque ao Sentiment Protocol resultou na perda de quase US$ 1 milhão em vários tokens e stablecoins. O invasor emprestou 606 WBTC, 10.050 WETH e 18 milhões de USDC usando um empréstimo instantâneo e depositou esses tokens no pool do Balancer no Sentiment. O invasor explorou uma vulnerabilidade de reentrada durante a função exitPool para transferir de volta os tokens depositados para sua conta, o que diminuiu o suprimento total do token do pool, mas o estado do saldo do token permaneceu o mesmo. O contrato de exploração emprestou ativos recursivamente usando o preço inflado do token do pool como garantia. A Sentiment continua investigando o ataque e implementou uma correção para resolver a vulnerabilidade explorada no ataque.
O invasor usou uma vulnerabilidade no contrato inteligente invocando o método CreateMassPools() e causando um estouro na matriz usando o método GetArraySum(). Isso permitiu que o invasor usasse a função TransferInToken() para estabelecer liquidez no pool e retirar os tokens ganhos usando o recurso de retirada.
O hacker explorou uma função pública burn()* no contrato Safemoon, que permitia a qualquer usuário gravar tokens de qualquer outro endereço. Essa função foi usada para remover tokens SFM do pool de liquidez, aumentando seu preço artificialmente e permitindo que o invasor os vendesse de volta ao pool com lucro.
*A função burn() permite a destruição de tokens ou moedas existentes em uma blockchain. Quando os tokens são "queimados", eles são permanentemente retirados de circulação, diminuindo a oferta total do token.
Um invasor usou um endereço suspeito para implantar um contrato malicioso que roubou ativos de vários pools. O ataque ocorreu no código do Smart Contract Service da rede principal da Hedera, que resultou na transferência de tokens do Hedera Token Service das contas das vítimas para a conta do invasor. As contas visadas estavam em várias exchanges descentralizadas que usavam código de contrato derivado do Uniswap v2, incluindo Pangolin, SaucerSwapLabs e HeliSwap_DEX.
Estamos entusiasmados em compartilhar novas atualizações sobre a ferramenta Olympix;
Aqui estão alguns links para você começar:
Também publicado aqui.