paint-brush
誰もが学ぶべき 5 つのスマート コントラクトのハック@olympix
704 測定値
704 測定値

誰もが学ぶべき 5 つのスマート コントラクトのハック

Olympix.ai3m2023/04/27
Read on Terminal Reader

長すぎる; 読むには

センチメント プロトコルへの攻撃により、約 100 万ドル相当のさまざまなトークンとステーブルコインが失われました。 Olympix は、チェック漏れの脆弱性に起因するフラッシュ ローン攻撃から保護するためのツールを開発しました。 Olympix ツールは、静的コード分析、従来の統計、および AI を使用して、コード ベース全体の異常を検出します。
featured image - 誰もが学ぶべき 5 つのスマート コントラクトのハック
Olympix.ai HackerNoon profile picture
0-item
1-item

ハッキング分析

1.オイラーファイナンス |損失額: 1 億 9,700 万ドル

攻撃者はフラッシュ ローンを使用して DAI を借用し、オイラー プロトコルを利用して eDAI と dDAI を借用しました。 donateToReserves 機能の脆弱性を悪用することで、攻撃者は清算プロセスを開始し、そこから利益を得ることができました。この脆弱性は、donateToReserves 関数に checkLiquidity ステップが欠落しているため、ユーザーが清算状態に入り、清算プロセスを完了することができることが原因でした。


Olympix は、チェック漏れの脆弱性に起因するフラッシュ ローン攻撃から保護するためのツールを開発しました。これらの脆弱性とその結果生じる攻撃ベクトルは、defi エコシステム全体でますます一般的になり、危険になっています。 Olympix ツールは、静的コード分析、従来の統計、および AI を使用して、コード ベースをそれ自体と比較することにより、コード ベース全体の異常を検出します。

2. 感情プロトコル |損失額: 100 万ドル

センチメント プロトコルへの攻撃により、約 100 万ドル相当のさまざまなトークンとステーブルコインが失われました。攻撃者はフラッシュ ローンを使用して 606 WBTC、10,050 WETH、および 1800 万 USDC を借り入れ、これらのトークンを Sentiment の Balancer プールに預け入れました。攻撃者は、exitPool 機能中に再入可能な脆弱性を悪用して、デポジットされたトークンを自分のアカウントに戻しました。これにより、プール トークンの総供給量が減少しましたが、トークン残高の状態は変わりませんでした。エクスプロイト コントラクトは、プール トークンの高騰した価格を担保として再帰的に資産を借りました。センチメントは攻撃の調査を続けており、攻撃で悪用された脆弱性に対処するための修正を実装しました。

3. プールズ・ファイナンス |損失額: $500,000

攻撃者は、スマート コントラクトの脆弱性を利用して、CreateMassPools() メソッドを呼び出し、GetArraySum() メソッドを使用して配列にオーバーフローを引き起こしました。これにより、攻撃者は TransferInToken() 関数を使用してプールに流動性を確立し、引き出し機能を使用して獲得したトークンを引き出すことができました。

4. セーフムーン |損失額: 890 万ドル

ハッカーは Safemoon コントラクトのpublic burn()*関数を悪用し、どのユーザーも他のアドレスからトークンをバーンできるようにしました。この関数は、流動性プールから SFM トークンを削除するために使用され、人為的に価格を引き上げ、攻撃者がプールに売却して利益を得られるようにしました。


*burn() 関数により、ブロックチェーン上に存在するトークンまたはコインを破棄できます。トークンが「バーン」されると、永久に流通から削除され、トークンの総供給量が減少します。

5. ヘデラ |損失額: $515,000

攻撃者は疑わしいアドレスを使用して、さまざまなプールから資産を盗む悪意のあるコントラクトを展開しました。攻撃は Hedera のメインネットの Smart Contract Service コードに対するもので、その結果、Hedera Token Service トークンが被害者のアカウントから攻撃者のアカウントに転送されました。標的となったアカウントは、Pangolin、SaucerSwapLabs、HeliSwap_DEX など、Uniswap v2 由来のコントラクト コードを使用する複数の分散型取引所にありました。

探検

オリンピックのお知らせ

Olympix ツールに関する最新情報を共有できることを嬉しく思います。


  • 私たちのツールは現在、静的コード分析、従来の統計、および AI を組み合わせて使用し、それ自体と比較してコード ベースの異常を特定します。この機能は、API 呼び出しを介してアクセスできます。
  • Olympix は、契約がアップグレード可能かプロキシかを検出できるため、より精選された正確な結果を得ることができます。
  • 脆弱性を迅速に修正するために、追加のパッチ機能を追加しました。


オリンピックについてもっと知りたいですか?

開始するためのリンクを次に示します。


こちらにも掲載。