5 trucos de contratos inteligentes de los que todos deberían aprender

Análisis de hacks

1. Euler Finanzas | Monto perdido: $ 197 millones

El atacante usó un préstamo flash para tomar prestado DAI y aprovechó el Protocolo de Euler para tomar prestado eDAI y dDAI. Al explotar una vulnerabilidad en la función donateToReserves, el atacante pudo iniciar el proceso de liquidación y beneficiarse de él. La vulnerabilidad se debió a la falta del paso checkLiquidity en la función donateToReserves, lo que permite a los usuarios entrar en un estado de liquidación y completar el proceso de liquidación.

Olympix ha desarrollado una herramienta para protegerse contra ataques de préstamos relámpago que resultan de vulnerabilidades de cheques faltantes. Estas vulnerabilidades y los vectores de ataque resultantes se han vuelto cada vez más comunes y peligrosos en todo el ecosistema defi. La herramienta Olympix utiliza análisis de código estático, estadísticas tradicionales e inteligencia artificial para detectar anomalías en toda la base de código al comparar la base de código consigo misma.

2. Protocolo de sentimiento | Monto perdido: $ 1 millón

Un ataque a Sentiment Protocol resultó en la pérdida de varios tokens y monedas estables por valor de casi $ 1 millón. El atacante tomó prestados 606 WBTC, 10 050 WETH y 18 millones de USDC mediante un préstamo flash y depositó estos tokens en el grupo de Balancer en Sentiment. El atacante aprovechó una vulnerabilidad de reingreso durante la función exitPool para transferir los tokens depositados a su cuenta, lo que disminuyó el suministro total del token del grupo, pero el estado del saldo del token permaneció igual. El contrato de explotación recursivamente tomó prestados activos utilizando el precio inflado del token del grupo como garantía. Sentiment continúa investigando el ataque y ha implementado una solución para abordar la vulnerabilidad explotada en el ataque.

3. Finanzas Poolz | Monto perdido: $ 500K

El atacante usó una vulnerabilidad en el contrato inteligente al invocar el método CreateMassPools() y provocar un desbordamiento en la matriz usando el método GetArraySum(). Esto permitió al atacante usar la función TransferInToken() para establecer liquidez en el grupo y retirar los tokens ganados usando la función de retiro.

4. Luna de seguridad | Monto perdido: $ 8.9M

El hacker explotó una función de grabación pública ()* en el contrato de Safemoon, que permitía a cualquier usuario grabar tokens desde cualquier otra dirección. Esta función se usó para eliminar los tokens SFM del grupo de liquidez, elevando su precio artificialmente y permitiendo que el atacante los vendiera de nuevo al grupo con una ganancia.

*Una función burn() permite la destrucción de tokens o monedas que existen en una cadena de bloques. Cuando las fichas se "queman", se eliminan permanentemente de la circulación, lo que reduce el suministro total de la ficha.

5. Hedera | Monto perdido: $ 515K

Un atacante usó una dirección sospechosa para implementar un contrato malicioso que robó activos de varios grupos. El ataque fue en el código del Servicio de Contrato Inteligente de la red principal de Hedera, lo que resultó en la transferencia de tokens del Servicio de Token de Hedera de las cuentas de las víctimas a la cuenta del atacante. Las cuentas objetivo estaban en múltiples intercambios descentralizados que usaban el código de contrato derivado de Uniswap v2, incluidos Pangolin, SaucerSwapLabs y HeliSwap_DEX.

Explorar

Anuncios de Olimpix

Estamos emocionados de compartir nuevas actualizaciones sobre la herramienta Olympix;

• Nuestra herramienta ahora utiliza una combinación de análisis de código estático, estadísticas tradicionales e inteligencia artificial para identificar anomalías en la base del código mediante la realización de comparaciones contra sí mismo, lo que ayuda a protegerse contra ataques de préstamos relámpago causados por vulnerabilidades de cheques faltantes. Se puede acceder a esta función a través de una llamada a la API.
• Olympix puede detectar si un contrato es actualizable o proxy, lo que permite obtener resultados más cuidados y precisos.
• Hemos agregado capacidades adicionales de aplicación de parches para solucionar rápidamente las vulnerabilidades.

¿Interesado en aprender más sobre Olympix?

Aquí hay algunos enlaces para empezar:

• https://www.olympix.ai/ - Nuestro sitio web donde puede registrarse para unirse a nuestro Beta / Discord
• https://twitter.com/Olympix_ai - Obtenga actualizaciones sobre exploits, actualizaciones de productos
• https://t.co/jeLkihA1Fa. - Boletín #1, suscríbete para más.

También publicado aquí.