4 月的智能合约漏洞利用

海洋生物 |损失金额：$11K

BNB 链上的 Ocean Life Token 已被利用价值 11,000 美元。攻击者最初使用闪贷借入了打包的 BNB，并将这些资金兑换成 $OLIFE 代币。漏洞利用合约存在一个漏洞，即在进行外部调用之前，总余额状态未在内部更新。私有 reflectFee 函数将 OLIFE 代币的总价值降低到 969 WBNB 。然而，池中的余额没有得到正确更新，攻击者能够交换 1,001 WBNB 并获利 34 WBNB。

百财经|损失金额：700 万美元

对 Hundred Finance 的攻击导致 700 万美元的损失。黑客利用闪电贷向百家金融的CErc20合约捐赠了500个WBTC ，意图操纵百家WBTC（hWBTC）的汇率。攻击合约将 WBTC 资金存入子合约，这些子合约用于铸造 hWBTC。

随后，子合约赎回了几乎所有的 WBTC 资金，除了 2 wei，导致 hWBTC 的总供应量为 2 wei。攻击者随后向 Hundred 的 CErc20 合约捐赠了 500 WBTC，这将汇率抬高至近 1 wei hWBTC = 250 WBTC。

利用这种膨胀率，攻击者以 2 wei 的基础资产借入 1022 WETH。在借入 WETH 资金后，由于舍入误差，攻击者能够提取之前捐赠给 Hundred 的 CErc20 合约的 500 WBTC，并最终偿还闪电贷。

向往财务 |损失金额：1100 万美元

今天上午，Yield Finance 遭到攻击，由于其 yUSDT 合约配置错误，可能造成超过 1100 万美元的损失。攻击者闪电借出DAI 、 USDC和USDT ，并使用部分资金偿还 Aave v1 借贷池中其他人的债务，降低了 Yearn 合约中 Aave 池的优先级。

Yearn 合约包含 Fulcrum 的硬编码贷方合约地址，它使用 iUSDC 作为基础资产而不是 iUSDT。这导致收益率合约错误计算收益率与存款比率。攻击者能够通过存入少量 USDT 来铸造过量的 yUSDT。然后攻击者将 yUSDT 兑换成 DAI 和ETH。

元点 |损失金额：92 万美元

由于存款合约功能存在漏洞，BNB Chain 上的 MetaPoint 遭受了 92 万美元的黑客攻击。漏洞利用的发生是因为每次用户将 $POT 存入池中时，都会生成一个新的智能合约，并将 $META 代币存入其中。新的智能合约具有公共批准功能，允许不受限制地访问存放的代币，使攻击者能够耗尽它们。 MetaPoint 团队宣布黑客攻击并暂停所有操作。

同等条件 |损失金额：2 万美元

对 Paribus 的攻击导致大约 20,000 美元的损失。攻击者使用闪贷借了 200 ETH 和 30,000 USDT，并将代币存入 Paribus 协议。存入的资金被用作抵押品，从 pETH 池中借入额外的 ETH。攻击者在 pToken 兑换功能期间利用了可重入漏洞。根据 Paribus Post-Mortem 更新，不可重入修改器未能在传输之前更新存储。攻击者能够在存入的 pETH 余额保持不变的情况下借入额外资金。

有兴趣了解更多关于 Olympix 的信息吗？

Olympix 是 Web3 保护的范式转变。它提供主动检测，使您能够在编码时识别智能合约漏洞并确定其优先级。其直观的性质使安全成为开发过程中不可或缺的一部分，每个阶段都嵌入了安全第一的思想。

以下是一些帮助您入门的链接：

https://www.olympix.ai/ - 我们的网站，您可以在其中注册加入我们的 Beta / Discord https://twitter.com/Olympix_ai - 获取漏洞更新、产品更新

https://tinyurl.com/3fwyhpub - 4 月 25 日时事通讯，订阅更多