Trong thông báo tuần này, Verichains sẽ thảo luận về cuộc kiểm toán gần đây của chúng tôi đối với Hợp đồng thông minh OpenEden Vault, một trường hợp sử dụng thú vị cho DeFi được hỗ trợ bởi các tài sản truyền thống được quản lý. Trong tin tức sự cố tuần trước, tổng số tiền bị hack là 11,5 triệu USD.
Bảo mật trường hợp sử dụng DeFi cho đầu tư tổ chức
Hợp đồng thông minh OpenEden Vault đã được Verichains kiểm toán thành công. Cách tiếp cận mới của OpenEden đối với DeFi là kho hợp đồng đầu tiên được quản lý bởi một thực thể được quản lý để cung cấp cho các nhà đầu tư quyền truy cập trực tiếp vào Tín phiếu Kho bạc Hoa Kỳ.
Không giống như các nhà đầu tư bán lẻ, các tổ chức thường đầu tư và giao dịch với số tiền đáng kể trong khi cần tuân thủ các quy định hiện hành. Trước sự sụp đổ gần đây của một số ngân hàng và sàn giao dịch tiền điện tử nổi tiếng, các tổ chức này đã mạo hiểm tuân thủ, bằng cách giao dịch trực tiếp thông qua các phương tiện hoặc phương tiện không được kiểm soát.
Sau sự sụp đổ của chúng, nhu cầu từ các tổ chức đối với tiền điện tử và DeFi vẫn tăng và tạo cơ hội thị trường mới cho các dự án như OpenEden để đáp ứng nhu cầu này.
Từ quá trình kiểm tra bảo mật của chúng tôi, Verichains có thể xác minh rằng OpenEden Vault an toàn không có lỗ hổng nghiêm trọng hoặc nghiêm trọng và chúng tôi chúc OpenEden thành công trong lần ra mắt công chúng sắp tới.
Đọc báo cáo kiểm toán công khai của OpenEden tại đây:
https://github.com/verichains/public-audit-reports/blob/main/Verichains
Sự cố tuần trước
🚨 Dự án: Trăm Tài
⛓️ Chuỗi: Lạc quan
💥 Loại: Thao túng tỷ giá hối đoái FlashLoan & Tấn công lạm phát ERC4626
💸 Số tiền thiệt hại: 7 triệu USD
Hundred Finance là nạn nhân mới nhất của một cuộc tấn công flashloan đóng khoảng 7 triệu đô la. Tin tặc đã trao 200 WBTC cho Hundred Finance và nhận được 200 mã thông báo hWBTC. Sau đó, họ gửi 500 WBTC khiến giá hWBTC tăng gấp 250 lần. Điều này cho phép tin tặc sử dụng hWBTC làm tài sản thế chấp để vay tiền từ các thị trường khác và rút cạn các nhóm cho vay hiện tại. Tại thời điểm viết bài, Hundred Finance đã không liên lạc được với tin tặc thông qua các tin nhắn trên chuỗi và đã đưa ra khoản tiền thưởng 500.000 đô la cho bất kỳ thông tin nào dẫn đến việc họ bị bắt và trả lại tất cả các khoản tiền.
https://twitter.com/HundredFinance/status/1648752607563771905?s=20
🚨 Dự án: Yearn Finance ⛓️ Chuỗi: Ethereum
💥 Loại: Cấu hình sai
💸 Số tiền thiệt hại: 3 triệu USD
Một nền tảng DeFi có tên Yearn Finance đã bị hack trị giá 3 triệu đô la do một lỗi trong hợp đồng iearn USDT token (yUSDT) cho phép tin tặc khai thác nhiều nhóm Curve và rút cạn chúng, dẫn đến thua lỗ cho các nhà cung cấp thanh khoản đã gửi mã thông báo LP của họ vào các giao thức xuôi dòng. Lỗi này vẫn tồn tại trong một số phiên bản của hợp đồng và đã xuất hiện kể từ khi được triển khai hơn 1000 ngày trước. Tin tặc đã sử dụng khoản vay flashloan trị giá 12 triệu đô la từ Balancer để kiếm được hơn 3 triệu đô la bằng cách đúc một lượng lớn yUSDT và đổi nó lấy các loại tiền ổn định khác. Lỗ hổng này là do hợp đồng yUSDT bị định cấu hình sai. Yearn v2 Vaults vẫn không bị ảnh hưởng và nhóm đang điều tra thêm.
🚨 Dự án: MetaPoint
⛓️ Chuỗi: BSC
💥 Loại: Kiểm soát ra vào
💸 Số tiền thua lỗ: $920,000
MetaPoint ($POT) trên Chuỗi thông minh Binance (BSC) đã bị hack, dẫn đến thiệt hại $920K. Nguyên nhân của vụ hack là một lỗ hổng trong hợp đồng được tạo ra khi người dùng sử dụng chức năng gửi tiền. Hợp đồng có chức năng gọi là "phê duyệt", cho phép người gọi truy cập không hạn chế vào $META mã thông báo. Tin tặc đã khai thác lỗ hổng này bằng cách tạo các hợp đồng tấn công để gọi hàm hàng loạt và phê duyệt giá trị tối đa. Để tránh thua lỗ thêm, dự án hiện đã khóa hợp đồng. Trên một lưu ý thú vị, @YannickCrypto đã có thể tận dụng ChatGPT để thu hồi 36.800 đô la POT.
https://twitter.com/YannickCrypto/status/1645925807724929024?s=20
🚨 Dự án: SwaposV2Pair ⛓️ Chuỗi: Ethereum 💥 Loại: Cấu hình sai 💸 Số tiền thua lỗ: ~$467.000
Khoảng 467.000 đô la đã bị hack từ hợp đồng SwaposV2Pair được triển khai gần đây trên chuỗi khối Ethereum do lỗi cấu hình sai trong giá trị k của nó, cho phép kẻ tấn công rút tất cả tiền từ cặp hợp đồng.
