| 项目 | 漏洞原因 | 漏洞发生在 | DefiLlama 是否收录 | 黑客收益 | GAS 来源 | 资金去向 |
|---|---|---|---|---|---|---|
| unibot | ❗️ sink 未限制访问权限,未开源的代码,需要逆向 | 交易 | 👌 | 640k USD | FixedFloat | tornado.cash |
| Astrid | sink withdraw 参数未严格验证 | 提款 | 👌 | 4w USD (20% 奖金) | EXch | 未动 |
| Maestro | sink fallback(未限制访问权限 | 调用 | 👌,不能找到合约 | 280 ETH | railgun | railgun |
| OpenLeverage | sink initialize (未限制访问权限,未开源的代码 | 初始化 | 👌 | 8K USD | tornado.cash | tornado.cash |
| OpenDAO-kTAF | ❗️sink 价格依赖当前状态 | 借贷 | 👌,不能找到合约 | 8k USD | kucoin | 未动 |
| MicDao | ❗️ sink 价格操纵 | 交换 | 不能 | 13k USD | FixedFloat | 钱包 |
| Beluga | ❗️ sink 价格操纵 | 交换 | 👌 | 175k USD | 跨链桥 | 钱包 |
| WiseLending | ❗️ sink 费率操纵,通过当前捐赠资金总数的精度差 | 捐赠 | 👌 | 260k USD | tornado.cash | 未动 |
| Platypus | ❗️ 价格操纵 | 交换 | 👌 | 2m USD | 跨链桥 | 多签地址,也许是交易所 |
| BH | sink upgrade 未限制访问权限 | 更新 | 不能 | 1.2m USD | tornado.cash | tornado.cash |
| pSeudoEth | ❗️ 价格操纵 | 交换 | 不能 | 3k USD | Orbiter Finance | 钱包 |
| StarsArena | ❗️sink SellShares 函数重入 | 交换 | 👌 | 3m USD | 跨跨链桥链桥 | 多个钱包 |
| DePayRouter | sink route 函数未授权访问 | 配置路由 | 不能 | 827 USD | 钱包 | 钱包 |
| FireBirdPair | 🤔 sink 滑点保护不正确 | 交换 | 👌 | 8k USD | 钱包 | 钱包 |
| DexRouter | ❗️sink (未限制访问权限 update 未限制访问权限 | 更新 | 不能 | 20 BNB | tornado.cash | tornado.cash |
| babydoge2 | 🤔 通缩?滑点? | 交换 | 👌 | 441 BNB | tornado.cash | tornado.cash |
| babydoge | 🤔 sink, 通缩代币 + 0 费率特权,能操纵市场? | 交换 | 👌 | 237 BNB | FixedFloat | FixedFloat |
| XSDWETHpool | swapXSDForETH 函数重入,需要分析通缩带来的影响 | 交换 | 不能 | 56 BNB | 钱包 | tornado.cash |
| Kub_Split | setPair 参数没有校验,虚假交易超额奖励 | 交易 | 不能 | 22k BUSD | 钱包 | 钱包 |
| CEXISWAP | ❗️sink 未限制 init 的访问,需要逆向 | 初始化 | 不能 | 30k USDT | railgun | railgun |
| uniclyNFT | 存款函数触发 onercERC1155Received 然后重入 | 取款 | 👌 | 0.4 ETH | FixedFloat | 钱包 |
注:
[1] “❗️” 表示一种通用化的攻击手法。部分核心手法: (1 基于逆向发现的未授权访问特权函数。(2 基于通缩类代币的滑点损失获利。(3 基于 flashloan 的价格操纵。
[2] “🤔 ” 表示总结的原因是通过推测得出,未经证实。