上周,DeFi 市场被利用的金额超过 20 万美元。仅 Biswap DEX 黑客事件就占了一半以上,总计 11 万美元。这种利用是由于缺乏输入验证而成为可能的。
上周的事件
🚨项目: Biswap
⛓️链: BSC
💥类型:缺乏输入验证
💸损失金额: ~110,000 美元
由于V3Migrator合约migrate方法中的漏洞,去中心化交易所 Biswap 遭到黑客攻击,损失超过 110,000 美元。攻击者能够利用此漏洞并从已批准其 LP 代币用于合约的用户那里窃取代币。该漏洞与transferFrom方法的参数缺乏验证有关,允许未经授权的转账,导致攻击者欺诈性地获取代币。
截至发稿时,Biswap 已承认并对此次事件的后果承担全部责任,并正在为用户挽回损失。
🚨项目: MyAI
⛓️链: BSC
💥类型:缺乏输入验证
💸损失金额: $2,500
由于 MyAI 项目的 MultiSender 合约存在漏洞,一个名为 MyAI 的 DeFi 项目被利用了 2500 美元。该合约允许将代币批量转移到多个地址,但“tokenTransfer”方法中对发送者资格的验证不正确。利用此缺陷,攻击者可以代表任何人将代币存入合约中,并将所有代币转移到他们自己的地址,从而有效地窃取它们。适当的授权检查对于防止智能合约中未经授权的转移至关重要。
🚨项目: BambooAI
⛓️链: BSC
💥类型:价格操纵
💸损失金额: ~$48,000
上周,一个名为 BambooAI 的 DeFi 项目遭到黑客攻击,损失约为 48,000 美元。该攻击利用了从_transfer函数内调用私有updatePool函数引起的漏洞。结果,池中涉及的代币对的余额被操纵,导致代币价格人为变化。攻击者利用这种操纵来获得不公平的优势或从价格变动中潜在获利。
截至撰写本文时,BambooAI 团队已承认此次攻击,并制定了一项计划来逮捕负责部署该合约的开发人员。
🚨项目:宝金融
⛓️链: BSC
💥类型:捐赠通货膨胀攻击和舍入误差
💸损失金额: $48,000
7月4日,Bao Finance因baoETH金库和bdbSTBL合约存在漏洞而被利用。他们操纵汇率,借入大量的baoETH,耗尽Balancer上的流动性池,并将其转换为wETH。最后,他们利用了Compound V2合约中的一个错误,使他们能够在不偿还贷款的情况下提取抵押品。他们总共窃取了约 41.3 baoETH,考虑到 Gas 费用后,相当于约 21 ETH 。
