Explorações de contratos inteligentes em abril

Vida Oceânica | Valor perdido: $ 11.000

O Ocean Life Token na cadeia BNB foi explorado por $ 11.000. O invasor inicialmente emprestou BNB embrulhado usando empréstimos instantâneos e trocou esses fundos para obter tokens $OLIFE. O contrato de exploração tinha uma vulnerabilidade em que o estado do saldo total não era atualizado internamente antes de uma chamada externa ser feita. A função reflectFee privada diminuiu o valor total para 969 WBNB de tokens OLIFE. No entanto, o saldo do pool não foi atualizado corretamente e o invasor conseguiu trocar 1.001 WBNB e obter um lucro de 34 WBNB.

Cem Finanças | Valor perdido: US$ 7 milhões

Um ataque à Hundred Finance resultou em uma perda de $ 7 milhões. O hacker usou empréstimos instantâneos e doou 500 WBTC para o Contrato CErc20 da Hundred Finance, com a intenção de manipular a taxa de câmbio do Hundred WBTC (hWBTC). O contrato de ataque depositou os fundos WBTC em contratos filhos, que são utilizados para cunhar hWBTC.

Posteriormente, o contrato filho resgatou quase todos os fundos WBTC, exceto 2 wei, fazendo com que o fornecimento total de hWBTC fosse 2 wei. O invasor então doou 500 WBTC para o contrato CErc20 da Hundred, que inflou a taxa de câmbio para quase 1 wei hWBTC = 250 WBTC.

Aproveitando essa taxa inflada, o invasor emprestou 1022 WETH com 2 wei de ativos subjacentes. Depois de pegar emprestado os fundos do WETH, o invasor conseguiu retirar os 500 WBTC que foram doados anteriormente ao Contrato CErc20 da Hundred devido a um erro de arredondamento e, eventualmente, pagou o empréstimo instantâneo.

Ano Finanças | Valor perdido: US$ 11 milhões

A Yield Finance sofreu uma exploração esta manhã, resultando em perdas potencialmente superiores a US$ 11 milhões devido a uma configuração incorreta em seu contrato yUSDT. O flash atacante emprestou DAI , USDC e USDT e usou parte dos fundos para pagar as dívidas de outras pessoas no pool de empréstimos Aave v1, diminuindo a prioridade do pool Aave dentro do contrato Yearn.

O contrato Yearn continha um endereço de contrato de credor codificado para Fulcrum que usava iUSDC como o ativo subjacente em vez de iUSDT. Isso fez com que o contrato de rendimento calculasse incorretamente a taxa de rendimento para depósito. O invasor conseguiu cunhar uma quantidade excessiva de yUSDT depositando uma pequena quantia de USDT. O invasor então trocou yUSDT por DAI e ETH.

Metaponto | Valor perdido: $ 920.000

MetaPoint na BNB Chain sofreu um hack de $ 920.000 devido a uma vulnerabilidade em sua função de contrato de depósito. A exploração aconteceu porque toda vez que um usuário depositava $POT no pool, um novo contrato inteligente era gerado e tokens $META eram depositados nele. O novo contrato inteligente tinha uma função de aprovação pública que permitia acesso irrestrito aos tokens depositados, permitindo que o invasor os drenasse. A equipe MetaPoint anunciou o hack e suspendeu todas as operações.

Paribus | Valor perdido: $ 20.000

Um ataque a Paribus resultou na perda de aproximadamente $ 20.000. O invasor emprestou 200 ETH e 30.000 USDT usando um empréstimo instantâneo e depositou os tokens no protocolo Paribus. Os fundos depositados foram usados como garantia para emprestar ETH adicional do pool de pETH. O invasor explorou uma vulnerabilidade de reentrância durante a função de resgate do pToken. De acordo com a atualização Paribus Post-Mortem, o modificador não reentrante falhou ao atualizar o armazenamento antes da transferência. O invasor conseguiu emprestar fundos adicionais enquanto o saldo de pETH depositado permaneceu inalterado.

Interessado em aprender mais sobre a Olympix?

Olympix é uma mudança de paradigma na proteção Web3. Ele oferece detecção proativa, permitindo identificar e priorizar vulnerabilidades de contratos inteligentes enquanto você codifica. Sua natureza intuitiva torna a segurança parte integrante do processo de desenvolvimento, com o pensamento de segurança em primeiro lugar incorporado em cada estágio.

Aqui estão alguns links para você começar:

https://www.olympix.ai/ - Nosso site onde você pode se inscrever para participar do nosso Beta / Discord https://twitter.com/Olympix_ai - Receba atualizações sobre exploits, atualizações de produtos

https://tinyurl.com/3fwyhpub - Newsletter de 25 de abril, inscreva-se para mais