每个人都应该学习的 5 个智能合约技巧

黑客分析

1. 欧拉金融 |损失金额：1.97 亿美元

攻击者使用闪电贷借入 DAI，并利用 Euler 协议借入 eDAI 和 dDAI。通过利用 donateToReserves 函数中的漏洞，攻击者能够启动清算过程并从中获利。该漏洞是由于 donateToReserves 函数中缺少 checkLiquidity 步骤，允许用户进入清算状态并完成清算过程。

Olympix 开发了一种工具来防止因支票缺失漏洞导致的闪电贷攻击。这些漏洞和由此产生的攻击媒介在整个 defi 生态系统中变得越来越普遍和危险。 Olympix 工具使用静态代码分析、传统统计和 AI 通过将代码库与自身进行比较来检测整个代码库中的异常情况。

2. 情感协议 |损失金额：100 万美元

对 Sentiment Protocol 的攻击导致价值近 100 万美元的各种代币和稳定币损失。攻击者使用闪电贷借入了 606 WBTC、10,050 WETH 和 1800 万美元的 USDC，并将这些代币存入 Sentiment 上的 Balancer 池中。攻击者在 exitPool 函数期间利用重入漏洞将存入的代币转回他们的账户，这减少了池代币的总供应量，但代币余额状态保持不变。利用合同使用池代币的膨胀价格作为抵押品递归借入资产。 Sentiment 正在继续调查此次攻击，并已实施修复以解决攻击中利用的漏洞。

3. Poolz 财经 |损失金额：50 万美元

攻击者通过调用 CreateMassPools() 方法并使用 GetArraySum() 方法导致数组溢出，从而利用了智能合约中的漏洞。这允许攻击者使用 TransferInToken() 函数在池中建立流动性并使用提取功能提取获得的代币。

4. 安全月 |损失金额：890 万美元

黑客利用了 Safemoon 合约中的public burn()*函数，该函数允许任何用户从任何其他地址销毁代币。此功能用于从流动性池中移除 SFM 代币，人为地提高其价格并允许攻击者将其卖回池中获利。

*burn() 函数允许销毁区块链上存在的代币或硬币。当代币被“销毁”时，它们将永久退出流通，从而减少代币的总供应量。

5. 常春藤 |损失金额：51.5 万美元

攻击者使用可疑地址部署恶意合约，窃取各种矿池中的资产。攻击针对的是 Hedera 的主网智能合约服务代码，导致 Hedera 令牌服务令牌从受害者账户转移到攻击者账户。目标账户位于多个使用 Uniswap v2 衍生合约代码的去中心化交易所，包括 Pangolin、SaucerSwapLabs 和 HeliSwap_DEX。

探索

奥林匹克公告

我们很高兴分享有关 Olympix 工具的新更新；

• 我们的工具现在利用静态代码分析、传统统计和人工智能的组合，通过与自身进行比较来识别代码库中的异常，这有助于防范由漏检漏洞引起的闪电贷攻击。可通过 API 调用访问此功能。
• Olympix 可以检测合约是可升级合约还是代理合约，从而获得更精心策划和更准确的结果。
• 我们添加了额外的修补功能以快速修复漏洞。

有兴趣了解更多关于 Olympix 的信息吗？

以下是一些帮助您入门的链接：

• https://www.olympix.ai/ - 我们的网站，您可以在其中注册加入我们的 Beta / Discord
• https://twitter.com/Olympix_ai - 获取漏洞更新、产品更新
• https://t.co/jeLkihA1Fa。 - 时事通讯#1，订阅更多。

也发布在这里。