零时科技 || XCarnival遭遇攻击,黑客获利3000余枚ETH事件分析
攻击者主要通过多次质押借贷和取出NFT获取大量和自己地址对应订单id,随后通过多次调用借款方法取出大量资金......
- 零时科技
- 发布于 2022-06-29
- 阅读 ( 1451 )
- ( 10 )
零时科技
XCarnival NFT 借贷协议漏洞分析
2022 年 06 月 27 日,据慢雾区消息,XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH(约 380 万美元)。XCarnival 是一个 ETH 链上的 NFT 借贷项目,目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。
- 慢雾科技
- 发布于 2022-06-28
- 阅读 ( 1627 )
慢雾科技
智能合约安全审计入门篇 —— delegatecall (2)
上篇文章中我们了解了什么是 delegatecall 函数以及一个基础的漏洞,这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,拿下一个进阶版的漏洞合约。
- 慢雾科技
- 发布于 2022-06-24
- 阅读 ( 2063 )
- ( 2 )
保护你的钱包!假钱包全景追踪
慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。今天我们从大数据侧分析,到底有多少假钱包。
- 慢雾科技
- 发布于 2022-06-23
- 阅读 ( 1993 )
WEB3 安全系列 || 攻击类型和经验教训
在Web3的世界中,我们更应该如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。
- 零时科技
- 发布于 2022-06-21
- 阅读 ( 1816 )
- ( 5 )
【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件
智能合约安全6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。
- SharkTeam
- 发布于 2022-06-16
- 阅读 ( 2084 )
- ( 4 )
SharkTeam
真实攻击案例分析系列之Fantasm Finance攻击事件分析
一句话对这个漏洞进行总结:合约中的漏洞是个典型的逻辑漏洞,漏洞主要在Pool合约中的mint方法中,在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM,而合约代码只对FSM进行了销毁,却没有考虑FTM的情况,导致即使用户不输入FTM,也能获得xFTM。
- 小驹
- 发布于 2022-06-16
- 阅读 ( 1854 )
- ( 6 )
小驹
dapp安全总结与典型安全事件
以太坊以及EVM的诞生使得 Dapp这种新的业务形态成为可能。总的来说,EVM实现了一个全局的状态机,为所有的 Dapp提供了统一的状态空间;实现了图灵完备,并抽象出了账户模型,账户之间可以相...
- jianghai
- 发布于 2022-06-15
- 阅读 ( 4593 )
- ( 90 )
jianghai
C.R.E.A.M Hack with Yearn
独乐乐,不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路,以及POC。
- bixia1994
- 发布于 2022-06-15
- 阅读 ( 1827 )
- ( 3 )
bixia1994
MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
- 慢雾科技
- 发布于 2022-06-15
- 阅读 ( 1755 )
WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击
本系列文章从web3安全出发,持续跟进web3安全动态。本文是攻击者通过Discord软件,对用户进行钓鱼,诈骗等行为,点击原文查看具体攻击手法。
- 零时科技
- 发布于 2022-06-14
- 阅读 ( 1458 )
- ( 3 )
WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?
本系列文章从web3安全出发,持续跟进web3安全动态,本文是盗取数字资产的方式,看看你是否中招?
- 零时科技
- 发布于 2022-06-13
- 阅读 ( 1361 )
- ( 4 )
2000 万 OP 代币被盗关键:交易重放
6 月 9 日,Optimism 与 Wintermute 双双发布公告,向社区披露了一起 2000 万 OP 代币丢失的事件。
- 慢雾科技
- 发布于 2022-06-13
- 阅读 ( 1638 )
交易重放+管理漏洞—2000万枚OP被盗事件分析
区块链安全问题解析2022年6月9日消息,据Optimism与加密货币做市商 Wintermute 透露,2000万个Optimism代币被黑客盗取。
- SharkTeam
- 发布于 2022-06-10
- 阅读 ( 2249 )
- ( 15 )
合约安全之-变量隐藏安全问题分析
在计算机编程中,当在特定范围(代码块、方法或内部类)中声明的变量与在外部范围中声明的变量具有相同的名称时,就会发生变量隐藏。变量隐藏在多种计算机语言中都存在,并不仅仅是Solidity语言独有的特性。
- 小驹
- 发布于 2022-06-09
- 阅读 ( 1648 )
- ( 9 )
合约私有数据泄漏的安全问题分析及演示
所有存储在区块链上都是公开可见的,包括合约的私有状态变量!所以不要在区块链上存储密码和私钥,而且对于确实需要存储的敏感数据尽量使用hash比对的存储密文hash。通过本文可以理解合约数据的存储,并学会访问合约的状态变量数据。
- 小驹
- 发布于 2022-06-09
- 阅读 ( 3347 )
- ( 28 )
零时科技 | Discover 闪电贷攻击事件分析
此次攻击事件主要通过闪电贷资金控制价格,导致兑换数量波动,对于此类安全事件,建议不要使用外部可控的资金数量来获取价格......
- 零时科技
- 发布于 2022-06-08
- 阅读 ( 1473 )
- ( 6 )
SharkTeam系列课程—NFT 应用场景分析
智能合约安全SharkTeam合约安全系列课程之NFT&GameFi开发与安全。第五课,让我们一起来聊聊NFT的应用场景。 本文将从基础设施层、协议和资产层、应用衍生层 3 个层面介绍 NFT 的相关应用场景。
- SharkTeam
- 发布于 2022-06-06
- 阅读 ( 2110 )
- ( 7 )
提案攻击——黑客的新潮流
基于 DAO提案的攻击也成为了黑客的“新潮流”。前有Beanstalk Farms被“恶意提案+闪电贷”攻击,后有Fortress Loans被“恶意提案+预言机操控”攻击。通过对这两个事件的分析总结下DAO治理的一些安全考量
- jianghai
- 发布于 2022-06-06
- 阅读 ( 2637 )
- ( 37 )
重入漏洞分析-基于hardhat、solidity0.8环境
重入,顾名思义是指重复进入,也就是“递归”的含义,本质是循环调用缺陷。重入漏洞(或者叫做重入攻击),是产生的根源是由于solidity智能合约的特性,这就导致许多不熟悉solidity语言的混迹于安全圈多年的安全人员看到“重入漏洞”这4个字时也都会一脸蒙圈,重入漏洞本质是一种循环调用,类似于其他语言中的死循环调用代码缺陷。
- 小驹
- 发布于 2022-06-04
- 阅读 ( 3963 )
- ( 40 )
