Khai thác hợp đồng thông minh vào tháng 4

Cuộc Sống Đại Dương | Số tiền bị mất: $11K

Ocean Life Token trên chuỗi BNB đã được khai thác với giá $11K. Ban đầu, kẻ tấn công đã vay BNB được gói bằng cách sử dụng các khoản vay flash và hoán đổi các khoản tiền này để lấy mã thông báo $OLIFE. Hợp đồng khai thác có một lỗ hổng trong đó trạng thái tổng số dư không được cập nhật nội bộ trước khi lệnh gọi bên ngoài được thực hiện. Chức năng phản xạ riêng tư đã giảm tổng giá trị xuống còn 969 WBNB của mã thông báo OLIFE. Tuy nhiên, số dư của nhóm không được cập nhật chính xác và kẻ tấn công đã có thể hoán đổi 1.001 WBNB và kiếm được lợi nhuận là 34 WBNB.

Trăm Tài | Số tiền bị mất: 7 triệu USD

Một cuộc tấn công vào Hundred Finance dẫn đến tổn thất 7 triệu đô la. Tin tặc đã sử dụng các khoản vay nhanh và tặng 500 WBTC cho Hợp đồng CErc20 của Hundred Finance, với ý định thao túng tỷ giá hối đoái của Hundred WBTC (hWBTC). Hợp đồng tấn công đã gửi tiền WBTC vào các hợp đồng con, được sử dụng để đúc hWBTC.

Sau đó, hợp đồng con đã mua lại gần như toàn bộ số tiền WBTC, ngoại trừ 2 wei, khiến tổng nguồn cung hWBTC là 2 wei. Sau đó, kẻ tấn công đã tặng 500 WBTC cho Hợp đồng CErc20 của Hundred, hợp đồng này đã làm tăng tỷ giá hối đoái lên gần 1 wei hWBTC = 250 WBTC.

Lợi dụng tỷ lệ tăng cao này, kẻ tấn công đã vay 1022 WETH với 2 wei tài sản cơ bản. Sau khi vay tiền WETH, kẻ tấn công đã có thể rút 500 WBTC trước đó đã được tặng cho Hợp đồng CErc20 của Hundred do lỗi làm tròn và cuối cùng đã hoàn trả khoản vay nhanh.

Năm tài chính | Số tiền bị mất: $11M

Yield Finance đã bị khai thác vào sáng nay, dẫn đến khoản lỗ có thể lên tới hơn 11 triệu đô la do cấu hình sai trong hợp đồng yUSDT. Kẻ tấn công đã cho vay nhanh DAI , USDC và USDT và sử dụng một số tiền để trả các khoản nợ của người khác trên Nhóm cho vay Aave v1, hạ thấp mức độ ưu tiên của nhóm Aave trong hợp đồng Năm.

Hợp đồng Yearn chứa địa chỉ hợp đồng cho vay được mã hóa cứng cho Fulcrum đã sử dụng iUSDC làm tài sản cơ bản thay vì iUSDT. Điều này khiến hợp đồng Lợi suất tính toán sai tỷ lệ lợi suất trên tiền gửi. Kẻ tấn công đã có thể đúc một lượng yUSDT quá mức bằng cách gửi một lượng nhỏ USDT. Sau đó, kẻ tấn công đã hoán đổi yUSDT thành DAI và ETH.

Siêu điểm | Số tiền bị mất: $920K

MetaPoint trên BNB Chain đã bị hack $920K do lỗ hổng trong chức năng hợp đồng tiền gửi của họ. Việc khai thác xảy ra bởi vì mỗi khi người dùng gửi $POT vào nhóm, một hợp đồng thông minh mới sẽ được tạo và mã thông báo $META đã được gửi vào đó. Hợp đồng thông minh mới có chức năng phê duyệt công khai cho phép truy cập không hạn chế vào các mã thông báo đã ký gửi, cho phép kẻ tấn công rút cạn chúng. Nhóm MetaPoint đã thông báo về vụ hack và đình chỉ mọi hoạt động.

Paris | Số tiền bị mất: $20K

Một cuộc tấn công vào Paribus dẫn đến tổn thất khoảng 20.000 đô la. Kẻ tấn công đã vay 200 ETH và 30.000 USDT bằng cách sử dụng khoản vay nhanh và gửi mã thông báo vào giao thức Paribus. Số tiền ký gửi được sử dụng làm tài sản thế chấp để vay thêm ETH từ nhóm pETH. Kẻ tấn công đã khai thác lỗ hổng đăng nhập lại trong chức năng đổi thưởng pToken. Theo bản cập nhật Paribus Post-Mortem, công cụ sửa đổi không đăng nhập lại không thể cập nhật bộ nhớ trước khi chuyển. Kẻ tấn công đã có thể vay thêm tiền trong khi số dư pETH đã gửi vẫn không thay đổi.

Quan tâm đến việc tìm hiểu thêm về Olympix?

Olympix là một sự thay đổi mô hình trong bảo vệ Web3. Nó cung cấp khả năng phát hiện chủ động, cho phép bạn xác định và ưu tiên các lỗ hổng hợp đồng thông minh trong khi bạn viết mã. Bản chất trực quan của nó làm cho bảo mật trở thành một phần không thể thiếu trong quá trình phát triển, với tư duy ưu tiên bảo mật được đưa vào mọi giai đoạn.

Dưới đây là một số liên kết để giúp bạn bắt đầu:

https://www.olympix.ai/ - Trang web của chúng tôi nơi bạn có thể đăng ký tham gia Beta / Discord của chúng tôi https://twitter.com/Olympix_ai - Nhận thông tin cập nhật về khai thác, cập nhật sản phẩm

https://tinyurl.com/3fwyhpub - Bản tin ngày 25 tháng 4, đăng ký để biết thêm