Thông báo An ninh hàng tuần của Verichains | Tháng Bảy 2023 Tuần 2

Tuần trước, thị trường DeFi đã được khai thác với giá hơn 200.000 USD. Chỉ riêng vụ hack Biswap Sàn phi tập trung (DEX) đã chiếm hơn một nửa số tiền, tổng trị giá 110.000 USD. Việc khai thác này có thể thực hiện được do thiếu xác thực đầu vào.

Sự cố tuần trước

🚨 Dự án: Biswap
⛓️ Chuỗi: BSC
💥 Loại: Thiếu xác thực đầu vào
💸 Số tiền thua lỗ: ~$110,000

Biswap, một Sàn phi tập trung (DEX) đã bị hack với số tiền hơn ~110.000 USD do lỗ hổng trong phương thức migrate của hợp đồng V3Migrator . Những kẻ tấn công đã có thể khai thác lỗ hổng này và đánh cắp mã thông báo từ những người dùng đã phê duyệt Token của người cung cấp thank khoản (LP Tokens) của họ cho hợp đồng. Lỗ hổng này liên quan đến việc thiếu xác minh trong các tham số của phương thức transferFrom , cho phép chuyển trái phép và dẫn đến việc kẻ tấn công lấy được mã thông báo một cách gian lận.

Tại thời điểm viết bài, Biswap đã thừa nhận và chịu hoàn toàn trách nhiệm về hậu quả của vụ việc cũng như đang bù đắp những tổn thất cho người dùng.

🚨 Dự án: MyAI
⛓️ Chuỗi: BSC
💥 Loại: Thiếu xác thực đầu vào
💸 Số tiền bị mất: 2.500$

Một dự án DeFi có tên MyAI đã bị khai thác với giá 2.500 USD do lỗ hổng trong hợp đồng MultiSender của dự án MyAI. Hợp đồng cho phép chuyển hàng loạt mã thông báo đến nhiều địa chỉ, nhưng việc xác minh tính đủ điều kiện của người gửi trong phương thức "chuyển mã thông báo" là không chính xác. Khai thác lỗ hổng này, kẻ tấn công có thể thay mặt bất kỳ ai gửi mã thông báo vào hợp đồng và chuyển tất cả mã thông báo đến địa chỉ của chính họ, đánh cắp chúng một cách hiệu quả. Kiểm tra ủy quyền phù hợp là rất quan trọng để ngăn chặn việc chuyển tiền trái phép trong hợp đồng thông minh.

🚨 Dự án: BambooAI
⛓️ Chuỗi: BSC
🔥 Loại: Thao túng giá
💸 Số tiền thua lỗ: ~$48,000

Một dự án DeFi có tên BambooAI đã bị hack vào tuần trước với giá khoảng 48.000 USD. Cuộc tấn công đã khai thác một lỗ hổng gây ra bởi việc gọi hàm updatePool riêng tư từ bên trong hàm _transfer . Kết quả là số dư của cặp Token tham gia vào nhóm đã bị thao túng, dẫn đến sự thay đổi giả tạo về giá của mã thông báo. Kẻ tấn công đã lợi dụng sự thao túng này để đạt được lợi thế không công bằng hoặc có khả năng thu được lợi nhuận từ biến động giá.

Tại thời điểm viết bài, nhóm tại BambooAI đã thừa nhận cuộc tấn công và nghĩ ra kế hoạch bắt giữ nhà phát triển chịu trách nhiệm triển khai hợp đồng.

🚨 Dự án: Bảo Finance
⛓️ Chuỗi: BSC
💥 Loại: Donate Lạm Phát Tấn Công & Lỗi Làm Tròn
💸 Số tiền thua lỗ: 48.000$

Vào ngày 4 tháng 7, Bao Finance đã bị khai thác do lỗ hổng trong kho baoETH và hợp đồng bdbSTBL. Họ thao túng tỷ giá hối đoái, vay một lượng baoETH đáng kể, làm cạn kiệt Bể thanh khoản trên Balancer và chuyển đổi nó thành wETH. Cuối cùng, họ đã khai thác một lỗi trong hợp đồng Hợp chất V2, cho phép họ rút tài sản thế chấp mà không cần hoàn trả khoản vay. Tổng cộng, họ đã đánh cắp khoảng 41,3 baoETH, tương đương với khoảng 21 ETH sau khi xem xét chi phí gas .