अप्रैल में स्मार्ट कॉन्ट्रैक्ट एक्सप्लॉयट

ओशन लाइफ | खोई हुई राशि: $ 11K

बीएनबी श्रृंखला पर ओशन लाइफ टोकन का $ 11K के लिए शोषण किया गया है। हमलावर ने शुरू में तेजी से ऋण का उपयोग करके लिपटे हुए बीएनबी को उधार लिया और $ OLIFE टोकन प्राप्त करने के लिए इन फंडों की अदला-बदली की। शोषण अनुबंध में भेद्यता थी जहां बाहरी कॉल किए जाने से पहले कुल शेष स्थिति आंतरिक रूप से अद्यतन नहीं हुई थी। निजी रिफ्लेक्टफी फ़ंक्शन ने OLIFE टोकन के कुल मूल्य को घटाकर 969 WBNB कर दिया था। हालांकि, पूल का बैलेंस ठीक से अपडेट नहीं हुआ और हमलावर 1,001 WBNB स्वैप करने और 34 WBNB का लाभ कमाने में सक्षम था।

सौ वित्त | खोई हुई राशि: $ 7M

हंड्रेड फाइनेंस पर हमले के परिणामस्वरूप $7M का नुकसान हुआ। हंड्रेड WBTC (hWBTC) की विनिमय दर में हेरफेर करने के इरादे से हैकर ने त्वरित ऋण का उपयोग किया और हंड्रेड फाइनेंस के CErc20 अनुबंध को 500 WBTC दान किया। हमले के अनुबंध ने WBTC फंड को बाल अनुबंधों में जमा कर दिया, जिसका उपयोग hWBTC को ढालने के लिए किया जाता है।

इसके बाद, बच्चे के अनुबंध ने लगभग सभी WBTC फंडों को भुनाया, 2 wei को छोड़कर, जिससे hWBTC की कुल आपूर्ति 2 wei हो गई। इसके बाद हमलावर ने हंड्रेड के CErc20 अनुबंध में 500 WBTC दान किया, जिसने विनिमय दर को लगभग 1 wei hWBTC = 250 WBTC तक बढ़ा दिया।

इस बढ़ी हुई दर का लाभ उठाते हुए, हमलावर ने अंतर्निहित संपत्तियों के 2 वीई के साथ 1022 WETH उधार लिया। WETH फंड उधार लेने के बाद, हमलावर 500 WBTC को वापस लेने में सक्षम था जो कि राउंडिंग एरर के कारण पहले हंड्रेड के CErc20 कॉन्ट्रैक्ट को दान किया गया था, और अंततः फ्लैश लोन चुका दिया।

वर्ष वित्त | खोई हुई राशि: $11M

यील्ड फाइनेंस को आज सुबह एक शोषण का सामना करना पड़ा, जिसके परिणामस्वरूप इसके yUSDT अनुबंध में गलत कॉन्फ़िगरेशन के कारण संभावित रूप से $11 मिलियन से अधिक का नुकसान हुआ। हमलावर ने DAI , USDC , और USDT को फ्लैश कर दिया और Aave v1 लेंडिंग पूल पर अन्य लोगों के ऋण चुकाने के लिए कुछ धनराशि का उपयोग किया, जिससे Yearn अनुबंध के भीतर Aave पूल की प्राथमिकता कम हो गई।

ईयरन अनुबंध में फुलक्रम के लिए एक हार्ड-कोडेड ऋणदाता अनुबंध का पता था, जो आईयूएसडीटी के बजाय अंतर्निहित संपत्ति के रूप में आईयूएसडीसी का उपयोग करता था। इससे यील्ड अनुबंध को यील्ड-टू-डिपॉजिट अनुपात की गलत गणना करने का कारण बना। हमलावर USDT की एक छोटी राशि जमा करके अत्यधिक मात्रा में yUSDT का खनन करने में सक्षम था। हमलावर ने तब yUSDT को DAI और ETH में बदल दिया।

मेटापॉइंट | खोई हुई राशि: $920K

बीएनबी चेन पर मेटापॉइंट को उनके डिपॉजिट कॉन्ट्रैक्ट फंक्शन में भेद्यता के कारण $ 920K हैक का सामना करना पड़ा। शोषण इसलिए हुआ क्योंकि हर बार जब कोई उपयोगकर्ता पूल में $POT जमा करता है, तो एक नया स्मार्ट अनुबंध उत्पन्न होता है, और $META टोकन जमा किए जाते हैं। नए स्मार्ट कॉन्ट्रैक्ट में एक सार्वजनिक स्वीकृति कार्य था जो जमा किए गए टोकन तक अप्रतिबंधित पहुंच की अनुमति देता था, जिससे हमलावर उन्हें निकालने में सक्षम हो जाता था। मेटाप्वाइंट टीम ने हैक की घोषणा की और सभी कार्यों को निलंबित कर दिया।

परिबस | खोई हुई राशि: $ 20K

परिबस पर हमले के परिणामस्वरूप लगभग $20,000 का नुकसान हुआ। हमलावर ने फ्लैश लोन का उपयोग करके 200 ETH और 30,000 USDT उधार लिए और टोकन को Paribus प्रोटोकॉल में जमा किया। जमा की गई धनराशि का उपयोग pETH पूल से अतिरिक्त ETH उधार लेने के लिए संपार्श्विक के रूप में किया गया था। हमलावर ने पीटोकन रिडीम फ़ंक्शन के दौरान एक पुनर्प्रवेश भेद्यता का फायदा उठाया। परिबस पोस्ट-मॉर्टम अपडेट के अनुसार, गैर-पुनर्वित्त संशोधक स्थानांतरण से पहले भंडारण को अद्यतन करने में विफल रहा। हमलावर अतिरिक्त धनराशि उधार लेने में सक्षम था, जबकि जमा किया गया pETH शेष अपरिवर्तित रहा।

ओलंपिक्स के बारे में अधिक जानने में रुचि है?

ओलम्पिक्स वेब3 सुरक्षा में एक आदर्श बदलाव है। यह सक्रिय पहचान प्रदान करता है, जिससे आप कोड करते समय स्मार्ट अनुबंध कमजोरियों की पहचान कर सकते हैं और उन्हें प्राथमिकता दे सकते हैं। इसकी सहज प्रकृति सुरक्षा को विकास प्रक्रिया का एक अभिन्न अंग बनाती है, जिसमें सुरक्षा-पहली सोच हर चरण में अंतर्निहित होती है।

आरंभ करने के लिए यहां कुछ लिंक दिए गए हैं:

https://www.olympix.ai/ - हमारी वेबसाइट जहां आप हमारे बीटा / डिस्कॉर्ड में शामिल होने के लिए साइन अप कर सकते हैं https://twitter.com/Olympix_ai - शोषण, उत्पाद अपडेट पर अपडेट प्राप्त करें

https://tinyurl.com/3fwyhpub - 25 अप्रैल न्यूज़लेटर, अधिक के लिए सदस्यता लें