Crypto Offensive

2022-01-17 20:06:39 #vulnerability #anyswap #multichain #approve

Пользователям сервиса AnySwap - anyswap.exchange, также известного под новым названием Multichain - multichain.org, во избежание финансовых потерь необходимо отозвать аппрувы (разрешения) на токены WETH, PERI, OMT, WBNB, MATIC, AVAX.

https://medium.com/multichainorg/action-required-critical-vulnerability-for-six-tokens-6b3cbd22bfc0 Открыть/Комментировать

2022-01-10 14:16:03 #guide

Еще один перечень типов уязвимостей в смарт-контрактах Solidity с описанием и примерами

https://github.com/sigp/solidity-security-blog Открыть/Комментировать

2022-01-09 11:58:26 ​​#guide

JiuZhou - классификация багов в смарт-контрактах Solidity: 49 типичных багов в 9 категориях. С описанием и примерами уязвимого кода

https://github.com/xf97/JiuZhou Открыть/Комментировать

2022-01-07 12:29:18 #guide

Полезная подборка паттернов solidity-программирования, в т.ч. по безопасности:

https://github.com/fravoll/solidity-patterns Открыть/Комментировать

2022-01-06 18:05:55 #guide

Методология аудита безопасности и качества кода смарт-контрактов от Rari Capital:

https://github.com/Rari-Capital/solcurity Открыть/Комментировать

2022-01-03 14:46:13 #hack #tinyman #algorand

Tinyman - главный DEX на блокчейне Algorand - подвергся взлому 1-2 января.

Непосредственно в процессе взлома было выведено средств на 3 миллиона долларов.
Затем вывод средств был продолжен другими участниками сети - белыми и чёрными хакерами-подражателями, а также обычными пользователями, выводящими предоставленную ими ликвидность.
https://tinymanorg.medium.com/official-announcement-about-the-incidents-of-01-01-2022-56abb19d8b19

В сентябре 2021 года компания Runtime Verification провела аудит контрактов Tinyman:
https://runtimeverification.com/blog/runtime-verification-audits-tinyman/

При аудите был обнаружен похожий баг - "A02: Leaking Funds When Burning LP Tokens..."
https://github.com/runtimeverification/publications/blob/main/reports/smart-contracts/Tinyman.pdf

Баг A02 указан как исправленный, и проявлялся немного иначе - при сжигании LP токенов оба актива возвращались в одинаковом количестве.
Во время взлома же возвращалось разное количество, но одного и того же актива. Открыть/Комментировать

2022-01-03 12:37:46 #scam #airdrop #dogecash

Токены $DOGECASH в сети BSC - скам: в процессе их получения с кошелька получающего уводится небольшая сумма в BNB.

https://twitter.com/PeckShieldAlert/status/1477859991935918080 Открыть/Комментировать

2021-12-31 17:04:20 #rugpull #airdrop #EtherWrapped #YEAR

Токен под названием EtherWrapped (не путать с Wrapped Ether), также известный под кратким названием YEAR, был распространён путём раздачи на web-сайте на основе статистики действий получателей за 2021 год (отсюда имя YEAR).
https://etherscan.io/address/0x9010a15184da16e3a7c5b4aa50094dfe3bb36989#code

Ловушка заключалась в сочетании функций renounceOwnership и _burnMechanism.
Когда токен уже торговался на Uniswap, владелец контракта вызвал renounceOwnership с адресом контракта Uniswap, тем самым заблокировав держателям токена возможность его продажи проверкой в _burnMechanism. Теперь токен можно было только покупать.

Через некоторое время создатель токена вывел накопившуюся ликвидность с Uniswap. На этом существование YEAR фактически завершилось.
https://twitter.com/cat5749/status/1476813266462539779 Открыть/Комментировать

2021-12-31 16:42:43 #hack #SashimiSwap

Взлом децентрализованной биржи SashimiSwap:

Взломщик заранее подготовил несколько собственных токенов и добавил их на биржу в парах с Wrapped ETH (WETH) и друг с другом.
Затем была вызвана функция обмена с заданным маршрутом (последовательностью промежуточных обменов).
В маршруте дважды присутствовал токен WETH - на второй и на заключительной позициях.

В результате - сумма к выдаче была вычислена по части маршрута, а обмен произведён по полному маршруту, и атакующий получил "лишние" токены Wrapped ETH.
https://twitter.com/blocksecteam/status/1476516736422019082

Аналогичная атака была проведена и против BSC-версии того же SashimiSwap. Открыть/Комментировать

2021-12-29 19:59:05 A curated list of blockchain security.

https://github.com/blockthreat/blocksec-ctfs Открыть/Комментировать