重入,顾名思义是指重复进入,也就是“递归”
的含义,本质是循环调用缺陷
。重入漏洞(或者叫做重入攻击),是产生的根源是由于solidity智能合约
的特性,这就导致许多不熟悉solidity语言的混迹于安全圈多年的安全人员看到“重入漏洞”这4个字时也都会一脸蒙圈,重入漏洞本质是一种循环调用,类似于其他语言中的死循环调用代码缺陷。
本文主要是说明了由两个小钓鱼网站分析出一个大钓鱼网站的事件。
近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。
5 月 25 日,推特用户 @0xLosingMoney 称监测到 ID 为 @Dvincent_ 的用户通过钓鱼网站 p2peers.io 盗走了 29 枚 Moonbirds 系列 NFT,价值超 70 万美元,钓鱼网站目前已无法访问。该用户表示,域名 sarek.fi 和 p2peers.io 都曾在过去的黑客事件中被使用。
上篇文章中我们学习了合约中数据的存储方式以及如何读取合约中的各种数据。这次我们将带大家了解 delegatecall 函数。
本文将揭示web3世界中几种常见的网络钓鱼方法:
北京时间 2022年5月18日 Binance 链上 Feminist Metaverse 智能合约遭到智能合约攻击。损失资金价值超过55万美元
攻击者 0x73b3 调用事先创建好的攻击合约 0x9a84 从 DVM 中闪电贷借出 915.842 WBNB,接着将其中的 116.81 WBNB 兑换成 115.65 fBNB。漏洞分析,EXP。
5 月 10 日,Sentinel 创始人 Serpent 发推表示,Scammer 利用 Google 广告的漏洞,使官方和钓鱼网站 URL 看起来完全相同。
DID使用了一种灵活的方式,适用于各组织和项目
北京时间 2022年5月16日 BNB Chain 和 Ethereum 链上 FEGtoken 遭到闪电贷攻击。损失资金价值超过130万美元。
5 月 16 日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的 Discord 服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。
5 月 9 日上午,由于恶意攻击,Fortress Protocol 中的资金被盗。此次 Fortress Protocol 遭受攻击的根本原因在于治理合约存在设计缺陷及 Umbrella Network 预言机存在任意操纵漏洞。
在过去的几年时间内,已有近百个知名公链项目通过慢雾的不同类型公链安全审计,例如:PlatON、BHD、Acala、Eden、Metis 等,通过在审计过程中的互动,开发团队更加系统地认识到公链安全体系的构建方法,增强了主网的安全性和健壮性,提高用户对项目的认可。
参考:操纵预言机+提案攻击—Fortress Loans被黑事件分析 黑客操作分析,提案操作,恶意合约(5月8日)
5月13日,原去中心化金融世界的第二大经济体Terra在这场史无前例的加密风暴中彻底失败。从5月8日到今天的5天时间里,Terra市值从原来近250亿美元跌至不到10亿。Terra主币Luna从原80美元跌至0.00...
数据越完整,其价值越高,觊觎它的人也就越多
攻击者创建了一个恶意提案,然后给这个提案投票,由于攻击者利用闪电贷获取了很多资金。项目合约中propose存在问题,只判断地址的资金,导致恶意提案被执行。
PXN钓鱼网站分析