【202311】Defihacksの分析とまとめ - 更新中

項目	脆弱性の原因	脆弱性が発生した場所	DefiLlama に収録されているか	ハッカーの利益	GAS の出所	資金の行き先
unibot	❗️ sink アクセス権が制限されておらず、オープンソースでないコード、逆アセンブルが必要	取引	👌	640k USD	FixedFloat	tornado.cash
Astrid	sink withdraw パラメータが厳密に検証されていない	引き出し	👌	4w USD (20% ボーナス)	EXch	未動
Maestro	sink fallback（アクセス権が制限されていない	呼び出し	👌、契約が見つからない	280 ETH	railgun	railgun
OpenLeverage	sink initialize（アクセス権が制限されていない、オープンソースでないコード	初期化	👌	8K USD	tornado.cash	tornado.cash
OpenDAO-kTAF	❗️sink 価格が現在の状態に依存	借入	👌、契約が見つからない	8k USD	kucoin	未動
MicDao	❗️ sink 価格操作	交換	できない	13k USD	FixedFloat	ウォレット
Beluga	❗️ sink 価格操作	交換	👌	175k USD	クロスチェーンブリッジ	ウォレット
WiseLending	❗️ sink 手数料操作、現在の寄付金総額の精度差による	寄付	👌	260k USD	tornado.cash	未動
Platypus	❗️ 価格操作	交換	👌	2m USD	クロスチェーンブリッジ	マルチシグアドレス、取引所の可能性
BH	sink upgrade アクセス権が制限されていない	更新	できない	1.2m USD	tornado.cash	tornado.cash
pSeudoEth	❗️ 価格操作	交換	できない	3k USD	Orbiter Finance	ウォレット
StarsArena	❗️sink SellShares 関数の再入	交換	👌	3m USD	クロスチェーンブリッジ	複数のウォレット
DePayRouter	sink route 関数が未承認のアクセス	ルート設定	できない	827 USD	ウォレット	ウォレット
FireBirdPair	🤔 sink スリッページ保護が不正確	交換	👌	8k USD	ウォレット	ウォレット
DexRouter	❗️sink（アクセス権が制限されていない update アクセス権が制限されていない	更新	できない	20 BNB	tornado.cash	tornado.cash
babydoge2	🤔 デフレ？スリッページ？	交換	👌	441 BNB	tornado.cash	tornado.cash
babydoge	🤔 sink, デフレトークン + 0 手数料特権、市場を操作できる？	交換	👌	237 BNB	FixedFloat	FixedFloat
XSDWETHpool	swapXSDForETH 関数の再入、デフレの影響を分析する必要がある	交換	できない	56 BNB	ウォレット	tornado.cash
Kub_Split	setPair パラメータに検証がない、虚偽の取引による過剰報酬	取引	できない	22k BUSD	ウォレット	ウォレット
CEXISWAP	❗️sink アクセスが制限されていない init、逆アセンブルが必要	初期化	できない	30k USDT	railgun	railgun
uniclyNFT	預金関数が onercERC1155Received をトリガーし、その後再入	引き出し	👌	0.4 ETH	FixedFloat	ウォレット

注:

[1] “❗️” は一般的な攻撃手法を示します。主な手法の一部: (1 逆アセンブルによって発見された未承認のアクセス特権関数。(2 デフレ型トークンに基づくスリッページ損失による利益。(3 フラッシュローンに基づく価格操作。

[2] “🤔 ” は推測によって得られた理由を示し、未確認です。