5 thủ thuật hợp đồng thông minh mà mọi người nên học hỏi

Phân tích hack

1. Tài chính Euler | Số tiền bị mất: $197M

Kẻ tấn công đã sử dụng một khoản vay nhanh để mượn DAI và tận dụng Giao thức Euler để mượn eDAI và dDAI. Bằng cách khai thác lỗ hổng trong chức năng donateToReserves, kẻ tấn công đã có thể bắt đầu quá trình thanh lý và thu lợi từ đó. Lỗ hổng này là do thiếu bước checkLiquidity trong chức năng donateToReserves, cho phép người dùng chuyển sang trạng thái thanh lý và hoàn tất quá trình thanh lý.

Olympix đã phát triển một công cụ để bảo vệ chống lại các cuộc tấn công cho vay nhanh do các lỗ hổng kiểm tra bị thiếu. Những lỗ hổng này và kết quả là các vectơ tấn công ngày càng trở nên phổ biến và nguy hiểm trong toàn bộ hệ sinh thái defi. Công cụ Olympix sử dụng phân tích mã tĩnh, số liệu thống kê truyền thống và AI để phát hiện các điểm bất thường trong toàn bộ cơ sở mã bằng cách so sánh cơ sở mã với chính nó.

2. Giao thức tình cảm | Số tiền bị mất: $1M

Một cuộc tấn công vào Giao thức tình cảm đã dẫn đến việc mất gần 1 triệu đô la các mã thông báo và stablecoin khác nhau. Kẻ tấn công đã vay 606 WBTC, 10.050 WETH và 18 triệu USDC bằng khoản vay nhanh và gửi các mã thông báo này vào nhóm Cân bằng trên Sentiment. Kẻ tấn công đã khai thác lỗ hổng đăng nhập lại trong chức năng exitPool để chuyển lại mã thông báo đã gửi vào tài khoản của họ, điều này làm giảm tổng nguồn cung của mã thông báo nhóm nhưng trạng thái cân bằng mã thông báo vẫn giữ nguyên. Hợp đồng khai thác đã vay đệ quy tài sản bằng cách sử dụng giá tăng cao của mã thông báo nhóm làm tài sản thế chấp. Sentiment đang tiếp tục điều tra vụ tấn công và đã thực hiện một bản sửa lỗi để giải quyết lỗ hổng bị khai thác trong cuộc tấn công.

3. Tài chính Poolz | Số tiền bị mất: $500K

Kẻ tấn công đã sử dụng một lỗ hổng trong hợp đồng thông minh bằng cách gọi phương thức CreateMassPools() và gây tràn mảng bằng phương thức GetArraySum(). Điều này cho phép kẻ tấn công sử dụng chức năng TransferInToken() để thiết lập tính thanh khoản trong nhóm và rút các mã thông báo đã đạt được bằng tính năng rút tiền.

4. Tuần trăng mật | Số tiền bị mất: 8,9 triệu USD

Tin tặc đã khai thác chức năng ghi công khai()* trong hợp đồng Safemoon, cho phép bất kỳ người dùng nào ghi mã thông báo từ bất kỳ địa chỉ nào khác. Chức năng này được sử dụng để xóa mã thông báo SFM khỏi nhóm thanh khoản, tăng giá giả tạo và cho phép kẻ tấn công bán lại chúng cho nhóm để kiếm lời.

*Chức năng burn() cho phép hủy các mã thông báo hoặc tiền xu tồn tại trên chuỗi khối. Khi mã thông báo bị "đốt cháy", chúng sẽ bị xóa vĩnh viễn khỏi lưu thông, làm giảm tổng nguồn cung cấp mã thông báo.

5. Hedera | Số tiền bị mất: $515K

Kẻ tấn công đã sử dụng một địa chỉ đáng ngờ để triển khai một hợp đồng độc hại nhằm đánh cắp tài sản từ nhiều nhóm khác nhau. Cuộc tấn công nhắm vào mã Dịch vụ hợp đồng thông minh trên mạng chính của Hedera, dẫn đến việc chuyển mã thông báo Dịch vụ mã thông báo Hedera từ tài khoản của nạn nhân sang tài khoản của kẻ tấn công. Các tài khoản được nhắm mục tiêu nằm trên nhiều sàn giao dịch phi tập trung sử dụng mã hợp đồng có nguồn gốc từ Uniswap v2, bao gồm Pangolin, SaucerSwapLabs và HeliSwap_DEX.

Khám phá

Thông báo Olympic

Chúng tôi rất vui được chia sẻ các bản cập nhật mới về công cụ Olympix;

• Công cụ của chúng tôi hiện sử dụng kết hợp phân tích mã tĩnh, thống kê truyền thống và AI để xác định điểm bất thường trong cơ sở mã bằng cách thực hiện so sánh với chính nó, giúp bảo vệ chống lại các cuộc tấn công cho vay nhanh do lỗ hổng kiểm tra bị thiếu. Tính năng này có thể truy cập thông qua lệnh gọi API.
• Olympix có thể phát hiện xem hợp đồng là hợp đồng có thể nâng cấp hay ủy quyền, cho phép thu được kết quả chính xác và được quản lý chặt chẽ hơn.
• Chúng tôi đã thêm các khả năng vá bổ sung để khắc phục nhanh các lỗ hổng.

Quan tâm đến việc tìm hiểu thêm về Olympix?

Dưới đây là một số liên kết để giúp bạn bắt đầu:

• https://www.olympix.ai/ - Trang web của chúng tôi nơi bạn có thể đăng ký tham gia Beta / Discord của chúng tôi
• https://twitter.com/Olympix_ai - Nhận thông tin cập nhật về khai thác, cập nhật sản phẩm
• https://t.co/jeLkihA1Fa. - Bản tin số 1, đăng ký để biết thêm.

Cũng được xuất bản ở đây.