paint-brush
Khai thác hợp đồng thông minh vào tháng 4từ tác giả@olympix
502 lượt đọc
502 lượt đọc

Khai thác hợp đồng thông minh vào tháng 4

từ tác giả Olympix.ai3m2023/04/27
Read on Terminal Reader

dài quá đọc không nổi

Ocean Life Token trên chuỗi BNB đã được khai thác với giá $11K. Một cuộc tấn công vào Hundred Finance dẫn đến tổn thất 7 triệu đô la. Yield Finance đã bị khai thác vào sáng nay, dẫn đến khoản lỗ có thể lên tới hơn 11 triệu đô la do cấu hình sai trong hợp đồng yUSDT.
featured image - Khai thác hợp đồng thông minh vào tháng 4
Olympix.ai HackerNoon profile picture
0-item


Cuộc Sống Đại Dương | Số tiền bị mất: $11K

Ocean Life Token trên chuỗi BNB đã được khai thác với giá $11K. Ban đầu, kẻ tấn công đã vay BNB được gói bằng cách sử dụng các khoản vay flash và hoán đổi các khoản tiền này để lấy mã thông báo $OLIFE. Hợp đồng khai thác có một lỗ hổng trong đó trạng thái tổng số dư không được cập nhật nội bộ trước khi lệnh gọi bên ngoài được thực hiện. Chức năng phản xạ riêng tư đã giảm tổng giá trị xuống còn 969 WBNB của mã thông báo OLIFE. Tuy nhiên, số dư của nhóm không được cập nhật chính xác và kẻ tấn công đã có thể hoán đổi 1.001 WBNB và kiếm được lợi nhuận là 34 WBNB.




Hợp đồng khai thác (Chuỗi BNB): 0xb5a0ce3acd6ec557d39afdcbc93b07a1e1a9e3fa

Băm giao dịch (Chuỗi BNB): 0xa21692ffb561767a74a4cbd1b78ad48151d710efab723b1efa5f1e0147caab0a


Trăm Tài | Số tiền bị mất: 7 triệu USD

Một cuộc tấn công vào Hundred Finance dẫn đến tổn thất 7 triệu đô la. Tin tặc đã sử dụng các khoản vay nhanh và tặng 500 WBTC cho Hợp đồng CErc20 của Hundred Finance, với ý định thao túng tỷ giá hối đoái của Hundred WBTC (hWBTC). Hợp đồng tấn công đã gửi tiền WBTC vào các hợp đồng con, được sử dụng để đúc hWBTC.


Sau đó, hợp đồng con đã mua lại gần như toàn bộ số tiền WBTC, ngoại trừ 2 wei, khiến tổng nguồn cung hWBTC là 2 wei. Sau đó, kẻ tấn công đã tặng 500 WBTC cho Hợp đồng CErc20 của Hundred, hợp đồng này đã làm tăng tỷ giá hối đoái lên gần 1 wei hWBTC = 250 WBTC.


Lợi dụng tỷ lệ tăng cao này, kẻ tấn công đã vay 1022 WETH với 2 wei tài sản cơ bản. Sau khi vay tiền WETH, kẻ tấn công đã có thể rút 500 WBTC trước đó đã được tặng cho Hợp đồng CErc20 của Hundred do lỗi làm tròn và cuối cùng đã hoàn trả khoản vay nhanh.



Hợp đồng khai thác (Lạc quan): 0x74b8932801bfbf63B44b001d77e62c808B1e2d12

Băm giao dịch (Lạc quan): 0x6e9ebcdebbabda04fa9f2e3bc21ea8b2e4fb4bf4f4670cb8483e2f0b2604f451


Năm tài chính | Số tiền bị mất: $11M

Yield Finance đã bị khai thác vào sáng nay, dẫn đến khoản lỗ có thể lên tới hơn 11 triệu đô la do cấu hình sai trong hợp đồng yUSDT. Kẻ tấn công đã cho vay nhanh DAI , USDCUSDT và sử dụng một số tiền để trả các khoản nợ của người khác trên Nhóm cho vay Aave v1, hạ thấp mức độ ưu tiên của nhóm Aave trong hợp đồng Năm.


Hợp đồng Yearn chứa địa chỉ hợp đồng cho vay được mã hóa cứng cho Fulcrum đã sử dụng iUSDC làm tài sản cơ bản thay vì iUSDT. Điều này khiến hợp đồng Lợi suất tính toán sai tỷ lệ lợi suất trên tiền gửi. Kẻ tấn công đã có thể đúc một lượng yUSDT quá mức bằng cách gửi một lượng nhỏ USDT. Sau đó, kẻ tấn công đã hoán đổi yUSDT thành DAI và ETH.



Hợp đồng khai thác: 0x83f798e925BcD4017Eb265844FDDAbb448f1707D


Siêu điểm | Số tiền bị mất: $920K

MetaPoint trên BNB Chain đã bị hack $920K do lỗ hổng trong chức năng hợp đồng tiền gửi của họ. Việc khai thác xảy ra bởi vì mỗi khi người dùng gửi $POT vào nhóm, một hợp đồng thông minh mới sẽ được tạo và mã thông báo $META đã được gửi vào đó. Hợp đồng thông minh mới có chức năng phê duyệt công khai cho phép truy cập không hạn chế vào các mã thông báo đã ký gửi, cho phép kẻ tấn công rút cạn chúng. Nhóm MetaPoint đã thông báo về vụ hack và đình chỉ mọi hoạt động.



Một trong những hợp đồng thông minh bị khai thác với chức năng phê duyệt(): 0x086f403461478F6aE7b81d9654f96f65AbDfAC29


Paris | Số tiền bị mất: $20K

Một cuộc tấn công vào Paribus dẫn đến tổn thất khoảng 20.000 đô la. Kẻ tấn công đã vay 200 ETH và 30.000 USDT bằng cách sử dụng khoản vay nhanh và gửi mã thông báo vào giao thức Paribus. Số tiền ký gửi được sử dụng làm tài sản thế chấp để vay thêm ETH từ nhóm pETH. Kẻ tấn công đã khai thác lỗ hổng đăng nhập lại trong chức năng đổi thưởng pToken. Theo bản cập nhật Paribus Post-Mortem, công cụ sửa đổi không đăng nhập lại không thể cập nhật bộ nhớ trước khi chuyển. Kẻ tấn công đã có thể vay thêm tiền trong khi số dư pETH đã gửi vẫn không thay đổi.


Quan tâm đến việc tìm hiểu thêm về Olympix?

Olympix là một sự thay đổi mô hình trong bảo vệ Web3. Nó cung cấp khả năng phát hiện chủ động, cho phép bạn xác định và ưu tiên các lỗ hổng hợp đồng thông minh trong khi bạn viết mã. Bản chất trực quan của nó làm cho bảo mật trở thành một phần không thể thiếu trong quá trình phát triển, với tư duy ưu tiên bảo mật được đưa vào mọi giai đoạn.


Dưới đây là một số liên kết để giúp bạn bắt đầu:

https://www.olympix.ai/ - Trang web của chúng tôi nơi bạn có thể đăng ký tham gia Beta / Discord của chúng tôi https://twitter.com/Olympix_ai - Nhận thông tin cập nhật về khai thác, cập nhật sản phẩm

https://tinyurl.com/3fwyhpub - Bản tin ngày 25 tháng 4, đăng ký để biết thêm



Cũng được xuất bản ở đây .