paint-brush
每个人都应该学习的 5 个智能合约技巧经过@olympix
719 讀數
719 讀數

每个人都应该学习的 5 个智能合约技巧

经过 Olympix.ai3m2023/04/27
Read on Terminal Reader

太長; 讀書

对 Sentiment Protocol 的攻击导致价值近 100 万美元的各种代币和稳定币损失。 Olympix 开发了一种工具来防止因支票缺失漏洞导致的闪电贷攻击。 Olympix 工具使用静态代码分析、传统统计和 AI 来检测整个代码库中的异常。
featured image - 每个人都应该学习的 5 个智能合约技巧
Olympix.ai HackerNoon profile picture
0-item
1-item

黑客分析

1. 欧拉金融 |损失金额:1.97 亿美元

攻击者使用闪电贷借入 DAI,并利用 Euler 协议借入 eDAI 和 dDAI。通过利用 donateToReserves 函数中的漏洞,攻击者能够启动清算过程并从中获利。该漏洞是由于 donateToReserves 函数中缺少 checkLiquidity 步骤,允许用户进入清算状态并完成清算过程。


Olympix 开发了一种工具来防止因支票缺失漏洞导致的闪电贷攻击。这些漏洞和由此产生的攻击媒介在整个 defi 生态系统中变得越来越普遍和危险。 Olympix 工具使用静态代码分析、传统统计和 AI 通过将代码库与自身进行比较来检测整个代码库中的异常情况。

2. 情感协议 |损失金额:100 万美元

对 Sentiment Protocol 的攻击导致价值近 100 万美元的各种代币和稳定币损失。攻击者使用闪电贷借入了 606 WBTC、10,050 WETH 和 1800 万美元的 USDC,并将这些代币存入 Sentiment 上的 Balancer 池中。攻击者在 exitPool 函数期间利用重入漏洞将存入的代币转回他们的账户,这减少了池代币的总供应量,但代币余额状态保持不变。利用合同使用池代币的膨胀价格作为抵押品递归借入资产。 Sentiment 正在继续调查此次攻击,并已实施修复以解决攻击中利用的漏洞。

3. Poolz 财经 |损失金额:50 万美元

攻击者通过调用 CreateMassPools() 方法并使用 GetArraySum() 方法导致数组溢出,从而利用了智能合约中的漏洞。这允许攻击者使用 TransferInToken() 函数在池中建立流动性并使用提取功能提取获得的代币。

4. 安全月 |损失金额:890 万美元

黑客利用了 Safemoon 合约中的public burn()*函数,该函数允许任何用户从任何其他地址销毁代币。此功能用于从流动性池中移除 SFM 代币,人为地提高其价格并允许攻击者将其卖回池中获利。


*burn() 函数允许销毁区块链上存在的代币或硬币。当代币被“销毁”时,它们将永久退出流通,从而减少代币的总供应量。

5. 常春藤 |损失金额:51.5 万美元

攻击者使用可疑地址部署恶意合约,窃取各种矿池中的资产。攻击针对的是 Hedera 的主网智能合约服务代码,导致 Hedera 令牌服务令牌从受害者账户转移到攻击者账户。目标账户位于多个使用 Uniswap v2 衍生合约代码的去中心化交易所,包括 Pangolin、SaucerSwapLabs 和 HeliSwap_DEX。

探索

奥林匹克公告

我们很高兴分享有关 Olympix 工具的新更新;


  • 我们的工具现在利用静态代码分析、传统统计和人工智能的组合,通过与自身进行比较来识别代码库中的异常,这有助于防范由漏检漏洞引起的闪电贷攻击。可通过 API 调用访问此功能。
  • Olympix 可以检测合约是可升级合约还是代理合约,从而获得更精心策划和更准确的结果。
  • 我们添加了额外的修补功能以快速修复漏洞。


有兴趣了解更多关于 Olympix 的信息吗?

以下是一些帮助您入门的链接:


也发布在这里。