Análises de hacks
1. Euler Finance | Valor perdido: US$ 197 milhões
O invasor usou um empréstimo flash para emprestar DAI e alavancou o protocolo Euler para emprestar eDAI e dDAI. Ao explorar uma vulnerabilidade na função donateToReserves, o invasor conseguiu iniciar o processo de liquidação e lucrar com isso. A vulnerabilidade ocorreu devido à falta da etapa checkLiquidity na função donateToReserves, permitindo que os usuários entrassem em um estado de liquidação e concluíssem o processo de liquidação.
A Olympix desenvolveu uma ferramenta para proteção contra ataques de empréstimos instantâneos resultantes de vulnerabilidades de cheques ausentes. Essas vulnerabilidades e os vetores de ataque resultantes tornaram-se cada vez mais comuns e perigosos em todo o ecossistema defi. A ferramenta Olympix usa análise de código estático, estatísticas tradicionais e IA para detectar anomalias em toda a base de código, comparando a base de código com ela mesma.
2. Protocolo de sentimento | Valor perdido: US$ 1 milhão
Um ataque ao Sentiment Protocol resultou na perda de quase US$ 1 milhão em vários tokens e stablecoins. O invasor emprestou 606 WBTC, 10.050 WETH e 18 milhões de USDC usando um empréstimo instantâneo e depositou esses tokens no pool do Balancer no Sentiment. O invasor explorou uma vulnerabilidade de reentrada durante a função exitPool para transferir de volta os tokens depositados para sua conta, o que diminuiu o suprimento total do token do pool, mas o estado do saldo do token permaneceu o mesmo. O contrato de exploração emprestou ativos recursivamente usando o preço inflado do token do pool como garantia. A Sentiment continua investigando o ataque e implementou uma correção para resolver a vulnerabilidade explorada no ataque.
3. Poolz Finance | Valor perdido: $ 500.000
O invasor usou uma vulnerabilidade no contrato inteligente invocando o método CreateMassPools() e causando um estouro na matriz usando o método GetArraySum(). Isso permitiu que o invasor usasse a função TransferInToken() para estabelecer liquidez no pool e retirar os tokens ganhos usando o recurso de retirada.
4. Lua Segura | Valor perdido: US$ 8,9 milhões
O hacker explorou uma função pública burn()* no contrato Safemoon, que permitia a qualquer usuário gravar tokens de qualquer outro endereço. Essa função foi usada para remover tokens SFM do pool de liquidez, aumentando seu preço artificialmente e permitindo que o invasor os vendesse de volta ao pool com lucro.
*A função burn() permite a destruição de tokens ou moedas existentes em uma blockchain. Quando os tokens são "queimados", eles são permanentemente retirados de circulação, diminuindo a oferta total do token.
5. Hedera | Valor perdido: $ 515.000
Um invasor usou um endereço suspeito para implantar um contrato malicioso que roubou ativos de vários pools. O ataque ocorreu no código do Smart Contract Service da rede principal da Hedera, que resultou na transferência de tokens do Hedera Token Service das contas das vítimas para a conta do invasor. As contas visadas estavam em várias exchanges descentralizadas que usavam código de contrato derivado do Uniswap v2, incluindo Pangolin, SaucerSwapLabs e HeliSwap_DEX.
Explorar
Anúncios da Olympix
Estamos entusiasmados em compartilhar novas atualizações sobre a ferramenta Olympix;
- Nossa ferramenta agora utiliza uma combinação de análise de código estático, estatísticas tradicionais e IA para identificar anomalias na base de código, realizando comparações com ela mesma, o que ajuda a proteger contra ataques de empréstimos instantâneos causados por vulnerabilidades de cheques ausentes. Esse recurso é acessível por meio de uma chamada de API.
- A Olympix pode detectar se um contrato é atualizável ou proxy, permitindo resultados mais selecionados e precisos.
- Adicionamos recursos adicionais de correção para corrigir vulnerabilidades rapidamente.
Interessado em aprender mais sobre a Olympix?
Aqui estão alguns links para você começar:
https://www.olympix.ai/ - Nosso site onde você pode se inscrever para participar do nosso Beta / Discordhttps://twitter.com/Olympix_ai - Obtenha atualizações sobre exploits, atualizações de produtoshttps://t.co/jeLkihA1Fa. - Newsletter #1, subscreva para mais.
Também publicado aqui.
