2023 年十大区块链黑客技术：社区提名

去中心化协议的成功和可持续性取决于克服持续存在的安全漏洞挑战。每年，被利用的安全漏洞最终导致区块链行业损失数十亿美元。鉴于这一现实，并由于我们致力于保护区块链生态系统，OpenZeppelin 已经启动了一系列博客文章，旨在发布年度十大区块链黑客技术。该系列已于 2023 年成功启动，我们的第一篇博客文章是关于 2022 年十大黑客技术。 这项工作有三重目的：记录本年度所有值得注意的黑客技术和安全研究，揭示被忽视的安全研究，并为每位区块链开发者和安全研究人员编制一份必读的十大漏洞列表。最终目标是将最阴险的漏洞摆在最前沿，并与 web3 生态系统的所有利益相关者讨论、记录和分享它们。 虽然像 DASP Top 10 这样的项目确定了最常见的漏洞类型，但 OpenZeppelin 的十大区块链黑客技术项目通过每年识别和发布最新颖、最普遍和最具影响力的漏洞类型、技术和攻击向量而脱颖而出。

随着投票阶段的结束，我们现在有了入围前 15 名的名单！

社区投票结果

以下是由社区投票选出的前 15 名黑客技术！目前，一个安全专家小组正在审查这些提名，以选出最终的前 10 名。请关注我们的 X，以获取最终的博客文章。

• 事后分析：2023 年 4 月 3 日 mev-boost 中继事件和相关的时序问题 - The Flashbots Ship
• Vyper Nonreentrancy Lock Vulnerability Technical Post-Mortem Report - HackMD
• Squashing a Pesky Bug in UniswapX :: Kebabsec
• Rate manipulation in Balancer Boosted Pools — technical postmortem | by Juani
• A thought experiment about empty ERC-4626 vaults that ended up making this white hat $33,500
• A unique $100,000 bug in SiloFinance 和 Silo Finance Logic Error Bugfix Review
• Halting and disabling the Cronos Gravity Bridge
• Inside the Governance Hack of Tornado Cash
• KyberSwap Hack Analysis 和 KyberSwap - REKT
• ERC-4626 vault inflation attack
• Euler Compromise Investigation Part 1 和 Part 2
• Vyper compiler bug involving incorrect success values
• Saving $100M at risk in KyberSwap Elastic
• Arbitrary Address Spoofing Attack: ERC2771Context Multicall Public Disclosure
• The Billion Dollar Exploit: Collecting Validators Private Keys via Web2 Attacks

社区提名

虽然我们有前 15 名的条目，但由于每个条目的高质量，下面给出了原始的提名列表。 值得花时间仔细阅读每个条目，以更好地了解 2023 年一些最重要的漏洞和攻击向量。

• Helping Secure BNB Chain Through Responsible Disclosure
• Post mortem: April 3rd, 2023 mev-boost relay incident and related timing issue - The Flashbots Ship
• Stealing Gas: Bypassing Ethermint Ante Handlers
• Vyper Nonreentrancy Lock Vulnerability Technical Post-Mortem Report - HackMD
• Squashing a Pesky Bug in UniswapX :: Kebabsec
• Rate manipulation in Balancer Boosted Pools — technical postmortem | by Juani
• Most Governance Contracts Have an Upcoming Vulnerability We Should All Pay Attention To
• A thought experiment about empty ERC-4626 vaults that ended up making this white hat $33,500
• A unique $100,000 bug in SiloFinance 和 Silo Finance Logic Error Bugfix Review
• Halting and disabling the Cronos Gravity Bridge
• The NFTTrader hack that resulted in millions of dollars worth of NFTs being stolen
• Inside the Governance Hack of Tornado Cash
• KyberSwap Hack Analysis 和 KyberSwap - REKT
• Decoding Sentiment Protocol’s $1 Million Exploit
• ERC-4626 vault inflation attack
• One more problem with ERC-777
• Euler Compromise Investigation Part 1 和 Part 2
• How to almost take over any DNSSEC name on ENS
• Vyper compiler bug involving incorrect success values
• Public transfer vulnerability of the Tether Gold smart contract
• Assets being bridged from the L1 to Polygon zkEVM(L2) cannot be claimed properly in the L2, thus blocking L1->L2 asset migration
• Saving $100M at risk in KyberSwap Elastic
• Critical bugs in Facebook/Polygon Winterfell library
• Balancer’s Bountiful Merkle Orchard 和 Balancer Logic Error Bugfix Review
• Election Fraud? Double Voting in Celer’s State Guardian Network
• Arbitrary Address Spoofing Attack: ERC2771Context Multicall Public Disclosure
• OpenZeppelin Governor Denial of Service
• Game of TRON: Critical 0-Day in TRON Multi-Signature Wallets
• The Engineer’s Guide to Blockchain Finality
• Bounty Program Helps Fix Contract Vulnerability
• GMX Granted Million Dollar Bug-Bounty to Collider; The Bug Aftermath
• Aztec Connect Claim Proof Bug
• The Billion Dollar Exploit: Collecting Validators Private Keys via Web2 Attacks
• NEAR Rewards $1.8 Million to Ethical Hackers at HackenProof
• Report on Certik’s Aptos-Related Bug Bounty
• The Wildcat Protocol Findings: codehash check in factory contracts does not account for non-empty addresses

“前 10 名”流程

选择这十大黑客技术的过程如下：首先，邀请社区提交他们的候选黑客技术或区块链安全研究。然后，社区可以对提名的条目进行投票，之后只剩下 15 个条目。之后，一个由顶级区块链安全专家组成的小组从这 15 个条目中选出 10 个。然后，这 10 个最终入围的黑客技术将发布在最终的博客文章中。

下面给出了整个过程及其时间表的详细分解：

第一阶段：社区提名

1 月 18 日 - 2 月 5 日

社区提交他们的条目。这些条目可以包括提交者自己的研究或他们在某个地方读到的一篇文章。主要要求是该研究应在 2023 年发布。

第二阶段：社区投票

2 月 6 日 - 2 月 12 日

社区对提名进行投票，之后只剩下 15 个。 这 15 个将进入第三阶段。投票将在此页面上通过表单列出每个提交的提名进行。

第三阶段：小组投票

2 月 13 日 - 2 月 26 日

由区块链安全专家组成的小组投票将 15 个社区选择的结果缩小到最终的 10 个。

第四阶段：发布

2 月 29 日

十大区块链黑客技术及其各自的摘要一起发布。

要及时了解整个过程的进展情况，请务必在 X 上关注 OpenZeppelin。

• 原文链接： openzeppelin.com/news/to...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～