| 項目 | 漏洞原因 | 漏洞發生在 | DefiLlama 是否收錄 | 黑客收益 | GAS 來源 | 資金去向 |
|---|---|---|---|---|---|---|
| unibot | ❗️ sink 未限制訪問權限,未開源的代碼,需要逆向 | 交易 | 👌 | 640k USD | FixedFloat | tornado.cash |
| Astrid | sink withdraw 參數未嚴格驗證 | 提款 | 👌 | 4w USD (20% 獎金) | EXch | 未動 |
| Maestro | sink fallback(未限制訪問權限 | 調用 | 👌,不能找到合約 | 280 ETH | railgun | railgun |
| OpenLeverage | sink initialize (未限制訪問權限,未開源的代碼 | 初始化 | 👌 | 8K USD | tornado.cash | tornado.cash |
| OpenDAO-kTAF | ❗️sink 價格依賴當前狀態 | 借貸 | 👌,不能找到合約 | 8k USD | kucoin | 未動 |
| MicDao | ❗️ sink 價格操縱 | 交換 | 不能 | 13k USD | FixedFloat | 錢包 |
| Beluga | ❗️ sink 價格操縱 | 交換 | 👌 | 175k USD | 跨鏈橋 | 錢包 |
| WiseLending | ❗️ sink 費率操縱,通過當前捐贈資金總數的精度差 | 捐贈 | 👌 | 260k USD | tornado.cash | 未動 |
| Platypus | ❗️ 價格操縱 | 交換 | 👌 | 2m USD | 跨鏈橋 | 多簽地址,也許是交易所 |
| BH | sink upgrade 未限制訪問權限 | 更新 | 不能 | 1.2m USD | tornado.cash | tornado.cash |
| pSeudoEth | ❗️ 價格操縱 | 交換 | 不能 | 3k USD | Orbiter Finance | 錢包 |
| StarsArena | ❗️sink SellShares 函數重入 | 交換 | 👌 | 3m USD | 跨跨鏈橋鏈橋 | 多個錢包 |
| DePayRouter | sink route 函數未授權訪問 | 配置路由 | 不能 | 827 USD | 錢包 | 錢包 |
| FireBirdPair | 🤔 sink 滑點保護不正確 | 交換 | 👌 | 8k USD | 錢包 | 錢包 |
| DexRouter | ❗️sink (未限制訪問權限 update 未限制訪問權限 | 更新 | 不能 | 20 BNB | tornado.cash | tornado.cash |
| babydoge2 | 🤔 通縮?滑點? | 交換 | 👌 | 441 BNB | tornado.cash | tornado.cash |
| babydoge | 🤔 sink, 通縮代幣 + 0 費率特權,能操縱市場? | 交換 | 👌 | 237 BNB | FixedFloat | FixedFloat |
| XSDWETHpool | swapXSDForETH 函數重入,需要分析通縮帶來的影響 | 交換 | 不能 | 56 BNB | 錢包 | tornado.cash |
| Kub_Split | setPair 參數沒有校驗,虛假交易超額獎勵 | 交易 | 不能 | 22k BUSD | 錢包 | 錢包 |
| CEXISWAP | ❗️sink 未限制 init 的訪問,需要逆向 | 初始化 | 不能 | 30k USDT | railgun | railgun |
| uniclyNFT | 存款函數觸發 onercERC1155Received 然後重入 | 取款 | 👌 | 0.4 ETH | FixedFloat | 錢包 |
註:
[1] “❗️” 表示一種通用化的攻擊手法。部分核心手法: (1 基於逆向發現的未授權訪問特權函數。(2 基於通縮類代幣的滑點損失獲利。(3 基於 flashloan 的價格操縱。
[2] “🤔 ” 表示總結的原因是通過推測得出,未經證實。