Thông báo An ninh hàng tuần của Verichains | Tháng Bảy 2023 Tuần 4

07-28

Bài viết này được dịch máy

Xem bản gốc

Trong bản tin tuần này, thị trường DeFi đã mất tổng cộng 760.000 USD sau một loạt cuộc tấn công. Đáng chú ý nhất là 4 dự án khác nhau đã bị hack bằng cùng một bộ mã, tổng thiệt hại là 230.000 USD.

Sự cố tuần trước

🚨 Dự án: USDTStakeContract28
⛓️ Chuỗi: Ethereum
✔️ Loại: Kiểm soát truy cập
💸 Số tiền thua lỗ: 21.000$

Tuần trước, một hợp đồng có tên “USDTStakeContract28” đã bị khai thác với giá 21.000 USD. Người ta phát hiện ra rằng thiếu các hạn chế đầy đủ đối với chức năng "tokenAllowAll", cho phép người dùng cấp phê duyệt chuyển khoản cho bất kỳ tổ chức nào mà họ kiểm soát. Lỗ hổng đặc biệt này gây ra rủi ro đáng kể đối với tính bảo mật và tính toàn vẹn của hợp đồng. Để giảm thiểu các hoạt động khai thác tiềm ẩn và đảm bảo an toàn cho hệ thống, điều quan trọng là phải tiến hành Kiểm định bảo mật toàn diện để xác định và giải quyết mọi điểm yếu hoặc sơ hở trong cơ sở mã của hợp đồng.

🚨 Dự án: $BNO
⛓️ Chuỗi: BSC
🔥Loại: Tính toán sai
💸 Số tiền thua lỗ: 500.000 USD

Token có tên $BNO đã bị hack hơn nửa triệu đô la do lỗ hổng trong cơ chế tính toán phần thưởng. Chức năng "rút tiền khẩn cấp", được thiết kế để rút Token ERC20 ngay lập tức, không tính đến các bản ghi Stake NFT. Bằng cách khai thác lỗ hổng này, kẻ tấn công đã gửi cả mã thông báo NFT và ERC20 và thực hiện hành động "Rút tiền khẩn cấp" dành riêng cho mã thông báo ERC20. Điều này cho phép kẻ tấn công bỏ qua quá trình kiểm tra tính toán phần thưởng, cho phép chúng nhận những phần thưởng không xứng đáng và gây tổn thất tài chính đáng kể cho nhóm và người dùng.

🚨 Dự án: APE Các tổ chức tự trị phi tập trung (DAO)
⛓️ Chuỗi: BSC
🔥 Loại: Thao túng giá
💸 Số tiền thua lỗ: 7.000$

Mã Token có tên $APEDAO đã bị hack với giá 7.000 USD do một cuộc tấn công thao túng giá. Kẻ tấn công đã thao túng giá của Token $APEDAO trong hợp đồng cặp bằng cách thực hiện chuyển Token lặp đi lặp lại, khai thác chức năng "hớt" để rút mã thông báo dư thừa và đốt một số lượng đáng kể mã thông báo $APEDAO được giữ trong hợp đồng .

🚨 Dự án: FIRE FIST, AI-Doge, QX, Utopia
⛓️ Chuỗi: BSC
💥 Loại: Ngẫu nhiên Xấu
💸 Số tiền thua lỗ: 230.000 USD

Trong một loạt các cuộc tấn công, 4 dự án liên tiếp đã bị tấn công bằng cùng một phương pháp với tổng thiệt hại lên tới 230.000 USD. Trong các dự án này, hợp đồng thông minh của họ chứa chức năng "_airdrop" trong phương thức "transfer()" để phân phối mã thông báo ngẫu nhiên đến các địa chỉ. Tuy nhiên, việc thiếu tính ngẫu nhiên thực sự của phương pháp này gây ra một lỗ hổng đáng kể. Vấn đề phát sinh từ việc sử dụng các đầu vào có thể điều khiển được như địa chỉ Airdrop cuối cùng, số Block và địa chỉ "từ" và "đến" để tạo địa chỉ ngẫu nhiên. Khả năng dự đoán này cho phép các tác nhân độc hại tác động đến kết quả Airdrop , dẫn đến việc khai thác.

Khu vực:

DeFi

Layer 1

Hợp Đồng Thông Minh

Nguồn

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.

Thích

Thêm vào Yêu thích

Bình luận

Chia sẻ

Nội dung liên quan