paint-brush
4 月的智能合约漏洞利用经过@olympix
502 讀數
502 讀數

4 月的智能合约漏洞利用

经过 Olympix.ai3m2023/04/27
Read on Terminal Reader

太長; 讀書

BNB 链上的 Ocean Life Token 已被利用价值 11,000 美元。对 Hundred Finance 的攻击导致 700 万美元的损失。今天上午,Yield Finance 遭到攻击,由于其 yUSDT 合约配置错误,可能造成超过 1100 万美元的损失。
featured image - 4 月的智能合约漏洞利用
Olympix.ai HackerNoon profile picture
0-item


海洋生物 |损失金额:$11K

BNB 链上的 Ocean Life Token 已被利用价值 11,000 美元。攻击者最初使用闪贷借入了打包的 BNB,并将这些资金兑换成 $OLIFE 代币。漏洞利用合约存在一个漏洞,即在进行外部调用之前,总余额状态未在内部更新。私有 reflectFee 函数将 OLIFE 代币的总价值降低到 969 WBNB 。然而,池中的余额没有得到正确更新,攻击者能够交换 1,001 WBNB 并获利 34 WBNB。




利用合同(BNB链):0xb5a0ce3acd6ec557d39afdcbc93b07a1e1a9e3fa

交易哈希(BNB链):0xa21692ffb561767a74a4cbd1b78ad48151d710efab723b1efa5f1e0147caab0a


百财经|损失金额:700 万美元

对 Hundred Finance 的攻击导致 700 万美元的损失。黑客利用闪电贷向百家金融的CErc20合约捐赠了500个WBTC ,意图操纵百家WBTC(hWBTC)的汇率。攻击合约将 WBTC 资金存入子合约,这些子合约用于铸造 hWBTC。


随后,子合约赎回了几乎所有的 WBTC 资金,除了 2 wei,导致 hWBTC 的总供应量为 2 wei。攻击者随后向 Hundred 的 CErc20 合约捐赠了 500 WBTC,这将汇率抬高至近 1 wei hWBTC = 250 WBTC。


利用这种膨胀率,攻击者以 2 wei 的基础资产借入 1022 WETH。在借入 WETH 资金后,由于舍入误差,攻击者能够提取之前捐赠给 Hundred 的 CErc20 合约的 500 WBTC,并最终偿还闪电贷。



利用合同(乐观):0x74b8932801bfbf63B44b001d77e62c808B1e2d12

交易哈希(乐观):0x6e9ebcdebbabda04fa9f2e3bc21ea8b2e4fb4bf4f4670cb8483e2f0b2604f451


向往财务 |损失金额:1100 万美元

今天上午,Yield Finance 遭到攻击,由于其 yUSDT 合约配置错误,可能造成超过 1100 万美元的损失。攻击者闪电借出DAIUSDCUSDT ,并使用部分资金偿还 Aave v1 借贷池中其他人的债务,降低了 Yearn 合约中 Aave 池的优先级。


Yearn 合约包含 Fulcrum 的硬编码贷方合约地址,它使用 iUSDC 作为基础资产而不是 iUSDT。这导致收益率合约错误计算收益率与存款比率。攻击者能够通过存入少量 USDT 来铸造过量的 yUSDT。然后攻击者将 yUSDT 兑换成 DAI 和ETH。



利用合约:0x83f798e925BcD4017Eb265844FDDAbb448f1707D


元点 |损失金额:92 万美元

由于存款合约功能存在漏洞,BNB Chain 上的 MetaPoint 遭受了 92 万美元的黑客攻击。漏洞利用的发生是因为每次用户将 $POT 存入池中时,都会生成一个新的智能合约,并将 $META 代币存入其中。新的智能合约具有公共批准功能,允许不受限制地访问存放的代币,使攻击者能够耗尽它们。 MetaPoint 团队宣布黑客攻击并暂停所有操作。



具有批准功能()的被利用智能合约之一:0x086f403461478F6aE7b81d9654f96f65AbDfAC29


同等条件 |损失金额:2 万美元

对 Paribus 的攻击导致大约 20,000 美元的损失。攻击者使用闪贷借了 200 ETH 和 30,000 USDT,并将代币存入 Paribus 协议。存入的资金被用作抵押品,从 pETH 池中借入额外的 ETH。攻击者在 pToken 兑换功能期间利用了可重入漏洞。根据 Paribus Post-Mortem 更新,不可重入修改器未能在传输之前更新存储。攻击者能够在存入的 pETH 余额保持不变的情况下借入额外资金。


有兴趣了解更多关于 Olympix 的信息吗?

Olympix 是 Web3 保护的范式转变。它提供主动检测,使您能够在编码时识别智能合约漏洞并确定其优先级。其直观的性质使安全成为开发过程中不可或缺的一部分,每个阶段都嵌入了安全第一的思想。


以下是一些帮助您入门的链接:

https://www.olympix.ai/ - 我们的网站,您可以在其中注册加入我们的 Beta / Discord https://twitter.com/Olympix_ai - 获取漏洞更新、产品更新

https://tinyurl.com/3fwyhpub - 4 月 25 日时事通讯,订阅更多



也发布在这里