paint-brush
5 hacks de contratos inteligentes que todos deveriam aprenderpor@olympix
719 leituras
719 leituras

5 hacks de contratos inteligentes que todos deveriam aprender

por Olympix.ai3m2023/04/27
Read on Terminal Reader

Muito longo; Para ler

Um ataque ao Sentiment Protocol resultou na perda de quase US$ 1 milhão em vários tokens e stablecoins. A Olympix desenvolveu uma ferramenta para proteção contra ataques de empréstimos instantâneos resultantes de vulnerabilidades de cheques ausentes. A ferramenta Olympix usa análise de código estático, estatísticas tradicionais e IA para detectar anomalias em toda a base de código.
featured image - 5 hacks de contratos inteligentes que todos deveriam aprender
Olympix.ai HackerNoon profile picture
0-item
1-item

Análises de hacks

1. Euler Finance | Valor perdido: US$ 197 milhões

O invasor usou um empréstimo flash para emprestar DAI e alavancou o protocolo Euler para emprestar eDAI e dDAI. Ao explorar uma vulnerabilidade na função donateToReserves, o invasor conseguiu iniciar o processo de liquidação e lucrar com isso. A vulnerabilidade ocorreu devido à falta da etapa checkLiquidity na função donateToReserves, permitindo que os usuários entrassem em um estado de liquidação e concluíssem o processo de liquidação.


A Olympix desenvolveu uma ferramenta para proteção contra ataques de empréstimos instantâneos resultantes de vulnerabilidades de cheques ausentes. Essas vulnerabilidades e os vetores de ataque resultantes tornaram-se cada vez mais comuns e perigosos em todo o ecossistema defi. A ferramenta Olympix usa análise de código estático, estatísticas tradicionais e IA para detectar anomalias em toda a base de código, comparando a base de código com ela mesma.

2. Protocolo de sentimento | Valor perdido: US$ 1 milhão

Um ataque ao Sentiment Protocol resultou na perda de quase US$ 1 milhão em vários tokens e stablecoins. O invasor emprestou 606 WBTC, 10.050 WETH e 18 milhões de USDC usando um empréstimo instantâneo e depositou esses tokens no pool do Balancer no Sentiment. O invasor explorou uma vulnerabilidade de reentrada durante a função exitPool para transferir de volta os tokens depositados para sua conta, o que diminuiu o suprimento total do token do pool, mas o estado do saldo do token permaneceu o mesmo. O contrato de exploração emprestou ativos recursivamente usando o preço inflado do token do pool como garantia. A Sentiment continua investigando o ataque e implementou uma correção para resolver a vulnerabilidade explorada no ataque.

3. Poolz Finance | Valor perdido: $ 500.000

O invasor usou uma vulnerabilidade no contrato inteligente invocando o método CreateMassPools() e causando um estouro na matriz usando o método GetArraySum(). Isso permitiu que o invasor usasse a função TransferInToken() para estabelecer liquidez no pool e retirar os tokens ganhos usando o recurso de retirada.

4. Lua Segura | Valor perdido: US$ 8,9 milhões

O hacker explorou uma função pública burn()* no contrato Safemoon, que permitia a qualquer usuário gravar tokens de qualquer outro endereço. Essa função foi usada para remover tokens SFM do pool de liquidez, aumentando seu preço artificialmente e permitindo que o invasor os vendesse de volta ao pool com lucro.


*A função burn() permite a destruição de tokens ou moedas existentes em uma blockchain. Quando os tokens são "queimados", eles são permanentemente retirados de circulação, diminuindo a oferta total do token.

5. Hedera | Valor perdido: $ 515.000

Um invasor usou um endereço suspeito para implantar um contrato malicioso que roubou ativos de vários pools. O ataque ocorreu no código do Smart Contract Service da rede principal da Hedera, que resultou na transferência de tokens do Hedera Token Service das contas das vítimas para a conta do invasor. As contas visadas estavam em várias exchanges descentralizadas que usavam código de contrato derivado do Uniswap v2, incluindo Pangolin, SaucerSwapLabs e HeliSwap_DEX.

Explorar

Anúncios da Olympix

Estamos entusiasmados em compartilhar novas atualizações sobre a ferramenta Olympix;


  • Nossa ferramenta agora utiliza uma combinação de análise de código estático, estatísticas tradicionais e IA para identificar anomalias na base de código, realizando comparações com ela mesma, o que ajuda a proteger contra ataques de empréstimos instantâneos causados por vulnerabilidades de cheques ausentes. Esse recurso é acessível por meio de uma chamada de API.
  • A Olympix pode detectar se um contrato é atualizável ou proxy, permitindo resultados mais selecionados e precisos.
  • Adicionamos recursos adicionais de correção para corrigir vulnerabilidades rapidamente.


Interessado em aprender mais sobre a Olympix?

Aqui estão alguns links para você começar:


Também publicado aqui.