💡 EulerFinance攻击事件分析 - Loan Protocol、资不抵债问题、缺乏持仓健康检查
攻击类型:闪电贷价格操纵(瞬时价格) 难度值较低,可以通过这题来对价格操纵有个简单的了解~
了解将Token作为投票权可能带来的威胁,了解oz的ERC20Snapshot and ERC20Votes背后的原理,以及作为开发者需要注意什么问题。
本文根据Owen21小时合约审计课程中第二部分合约升级指南部分中关于离线签名的拓展性问题展开讨论。原视频:https://www.youtube.com/watch?v=DRZogmD647U
目前大部分新发的ERC20Token都带有permit功能,即通过签名完成授权。签名的人不需要上链,省了gas,但是实际上更危险,一不小心签名,可能把所有的Token授权给他人了。 错误的协议实现即把WETH当成了IERC20Permit使用,也会造成损失。
在本系列文章中(当前系列第三篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
在选择钱包时,应该根据资金金额和经验进行权衡。
为了看的清晰,本文先利用画图和数据分析整个事件的攻击原理和流程,然后再去写POC。
学习使用模糊测试(Fuzz Test)及不变性测试( Invariant Test)提高合约安全性。
据慢雾安全团队情报,2023 年 11 月 23 日,去中心化交易平台 KyberSwap 遭到攻击,攻击者获利约 5470 万美元。
2023 年 Web3 中最常见的 10 个漏洞: 输入验证不正确;计算错误;预言机/价格操纵; 弱访问控制; 重放攻击;舍入误差;重入攻击;抢跑;未初始化的代理;治理攻击。
了解一个经典的智能合约漏洞 —— 签名重放。
了解一个非常常见的攻击手法 —— 抢跑。
遍历所有的节点处理变量读写关系的示例
在 DeFi 合约中,常见模式是Checks-Effects-Interactions(检查-生效-交互)模式, 不够好,它会让开发者忘记协议的核心不变性。 作者提出了一个新的模式:FREI-PI: 功能检查-生效-交互+协议不变性,让我们更多关注协议的不变性(安全性)。
Checks-Effects-Interactions(检查-生效-交互)
功能检查-生效-交互+协议不变性
本文会涉及到slither中几类call的区别,slither遍历node时的常用的递归框架,以及将这两类知识应用到批量函数调用风险的检测中。
1.理解自杀函数检测自杀函数的风险与应用场景。自杀函数可以做为一种隐藏的transfer的手段。 2.shift汇编函数与其它语言的参数不一致,容易混淆。
Hook 是一个强大功能,可以带来更灵活的组合性。向任何强大的武器一样,使用不当可能会伤害到自己。 当任意调用与 Hook 在一起,更要小心。
09.状态变量覆盖的含义状态变量覆盖是指子类中的状态变量将父类的状态变量进行覆盖,子类和父类使用了相同名称的状态变量。在这种情况下,如果操作子类的状态变量不会修改父类的状态变量,而此时代码的真实意图可能是为了修改父类的状态变量。
扫一扫 - 使用登链小程序
42 篇文章,379 学分
41 篇文章,329 学分
16 篇文章,189 学分
1 篇文章,164 学分
13 篇文章,146 学分