上週,DeFi 市場被利用的金額超過 20 萬美元。僅 Biswap DEX 黑客事件就佔了一半以上,總計 11 萬美元。這種利用是由於缺乏輸入驗證而成為可能的。
上週的事件
🚨項目: Biswap
⛓️鏈: BSC
💥類型:缺乏輸入驗證
💸損失金額: ~110,000 美元
由於V3Migrator合約migrate方法中的漏洞,去中心化交易所 Biswap 遭到黑客攻擊,損失超過 110,000 美元。攻擊者能夠利用此漏洞並從已批准其 LP 代幣用於合約的用戶那裡竊取代幣。該漏洞與transferFrom方法的參數缺乏驗證有關,允許未經授權的轉賬,導致攻擊者欺詐性地獲取代幣。
截至發稿時,Biswap 已承認並對此次事件的後果承擔全部責任,並正在為用戶挽回損失。
🚨項目: MyAI
⛓️鏈: BSC
💥類型:缺乏輸入驗證
💸損失金額: $2,500
由於 MyAI 項目的 MultiSender 合約存在漏洞,一個名為 MyAI 的 DeFi 項目被利用了 2500 美元。該合約允許將代幣批量轉移到多個地址,但“tokenTransfer”方法中對發送者資格的驗證不正確。利用此缺陷,攻擊者可以代表任何人將代幣存入合約中,並將所有代幣轉移到他們自己的地址,從而有效地竊取它們。適當的授權檢查對於防止智能合約中未經授權的轉移至關重要。
🚨項目: BambooAI
⛓️鏈: BSC
💥類型:價格操縱
💸損失金額: ~$48,000
上週,一個名為 BambooAI 的 DeFi 項目遭到黑客攻擊,損失約為 48,000 美元。該攻擊利用了從_transfer函數內調用私有updatePool函數引起的漏洞。結果,池中涉及的代幣對的餘額被操縱,導致代幣價格人為變化。攻擊者利用這種操縱來獲得不公平的優勢或從價格變動中潛在獲利。
截至撰寫本文時,BambooAI 團隊已承認此次攻擊,並製定了一項計劃來逮捕負責部署該合約的開發人員。
🚨項目:寶金融
⛓️鏈: BSC
💥類型:捐贈通貨膨脹攻擊和舍入誤差
💸損失金額: $48,000
7月4日,Bao Finance因baoETH金庫和bdbSTBL合約存在漏洞而被利用。他們操縱匯率,借入大量的baoETH,耗盡Balancer上的流動性池,並將其轉換為wETH。最後,他們利用了Compound V2合約中的一個錯誤,使他們能夠在不償還貸款的情況下提取抵押品。他們總共竊取了約 41.3 baoETH,考慮到 Gas 費用後,相當於約 21 ETH 。
