全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Curve Finance分析与事后剖析

2023年7月30日,Curve Finance的多个流动池遭受重入攻击,揭示了Vyper编译器的严重缺陷,导致Curve池的安全性受到威胁。文章详细分析了攻击的过程和原因,以及对后续智能合约安全性的思考,指出了智能合约审核中未能匹配源代码与字节码的重要性,从而促使开发者关注安全性和审核流程的改进。
Curve Finance  Vyper  重入攻击  智能合约安全  区块链漏洞  安全审计 

SharkTeam:Worldcoin运营数据及业务安全分析

in  智能合约安全
Worldcoin的白皮书中声明,Worldcoin旨在构建一个连接全球人类的新型数字经济系统,由OpenAI创始人SamAltman于2020年发起。通过区块链技术在Web3世界中实现更加公平、开放和包容的经济体系,并将所有权赋予每个人。并且希望让全世界每一个人都能有最低的生活保障,提高全民基本

Vyper 非重入锁漏洞技术事后分析报告

该文章深入分析了 Vyper 编译器中存在的漏洞,该漏洞影响了 Curve.Fi 流动性池,导致其被利用。文章详细追溯了漏洞的产生、发展和修复过程,解释了 `@nonreentrant` 装饰器在特定 Vyper 版本中的失效原因,以及攻击者如何利用此漏洞获利。此外,文章还总结了经验教训,并提出了改进 Vyper 安全性的措施和未来计划。
Vyper  编译器  漏洞  重入攻击  Curve.Fi  @nonreentrant 

彻底消除重入攻击 — 链上运行时保护

本文讨论了重入攻击在DeFi领域的风险及其挑战,并提出“运行时保护”作为一种有效的安全措施。Artela通过Aspect Programming为EVM区块链引入运行时保护,旨在确保合约的执行结果与预期一致,从而防范重入攻击。该方法强调了在智能合约执行后的保护措施,朝着更高的DeFi安全性迈出了一步。
重入攻击  运行时保护  DeFi  Aspect Programming  Artela 

Tornado Cash 治理系统攻击

Tornado Cash 治理系统遭到攻击,攻击者利用 CREATE、CREATE2 和 selfdestruct 等操作码,部署包含自毁函数的恶意合约,在提案通过后删除原合约并在相同地址部署恶意合约,从而控制了治理合约,最终导致大量资金被盗。
Tornado Cash  智能合约  CREATE  CREATE2  selfdestruct  治理攻击 

SharkTeam:UniswapV4 Hook最佳安全实践

in  智能合约安全
近期UniswapLab官宣了下一代AMMUniswapV4的开发进展,并公开了白皮书和代码仓库。这次V4的白皮书仅仅只有3页,原因是V4并没有对AMM的核心算法逻辑做太多修改,而是在V3的基础上,增加了一些新的特性,以满足更多的场景需求。SharkTeam将基于目前已开

SharkTeam:Vyper漏洞导致Curve和JPEG'd等项目被攻击原理分析

in  智能合约安全
7月30日,因为Vyper部分版本中的漏洞,导致Curve、JPEG'd等项目陆续受到攻击,损失总计超过5200万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析以JPEG'd被攻击为例:攻击者
  • SharkTeam
  • 发布于 2023-07-31
  • 阅读 ( 2917 )
  • ( 8 )

记一次隐蔽的恶意攻击事件追踪分析

记一次隐蔽的恶意攻击事件追踪分析
区块链安全 

慢雾:起底假充值攻击如何突破交易所的层层防御

慢雾:起底假充值攻击如何突破交易所的层层防御引言假充值攻击,是指攻击者通过利用交易所在处理充值过程中的漏洞或系统错误,发送伪造的交易信息到交易所钱包地址,这些伪造的交易信息被交易所误认为是真实的充值请求,并将对应的数字资产或货币添加到攻击者的账户中。攻击者利用这种方式,可以获得未经支付的数字资产
区块链安全 

使用 Echidna 对链上合约进行模糊测试

Echidna 2.1.0 版本引入了直接检索链上数据的新功能,如合约代码和存储槽值。文章展示了如何使用 Echidna 复现 2022 年 Stax Finance 被攻击事件,该事件是由于 `StaxLPStaking` 合约中缺少验证检查,导致价值 230 万美元的 xLP 代币被盗。
Echidna  智能合约  模糊测试  漏洞  Stax Finance  hevm 

ApeDao事件代码复现

ApeDao事件代码复现
安全事件分析 
  • Archime
  • 发布于 2023-07-20
  • 阅读 ( 3507 )
  • ( 5 )

智能合约安全审计入门篇 —— 签名重放

了解一个经典的智能合约漏洞 —— 签名重放。
智能合约安全  安全审计  智能合约 

智能合约安全审计入门篇 —— 抢跑

了解一个非常常见的攻击手法 —— 抢跑。
智能合约安全  安全审计  抢跑  智能合约 

BNO事件代码复现

BNO事件代码复现
安全事件分析 
  • Archime
  • 发布于 2023-07-20
  • 阅读 ( 3437 )
  • ( 3 )

SharkTeam:BNO攻击事件原理分析

in  智能合约安全
北京时间2023年7月18日,OceanBNO遭受闪电贷攻击,攻击者已获利约50万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0xa6566574edc60d7b2adbac
  • SharkTeam
  • 发布于 2023-07-18
  • 阅读 ( 2877 )
  • ( 4 )

Solidity定点库中的问题——Certora漏洞披露

本文揭示了PRBMath库中mulDivSigned函数的一个设计缺陷,该缺陷会导致在计算有符号数的乘法和除法时出现精度问题,特别是在DeFi应用中可能被利用导致资金损失。Certora团队通过形式化验证工具发现了这个存在于多个PRBMath版本中的问题,并与作者Paul Razvan Berg合作,最终通过修改函数定义为向零取整来临时解决,并计划在未来提供更全面的舍入模式支持。
Solidity  PRBMath  mulDivSigned  bug  DeFi  形式化验证 

如何通过物理手段获得一组秘密安全的助记词?

你随身携带的硬件钱包真的安全么?事实上:无论是热钱包还是硬件钱包,你拿到的助记词都是软件通过随机自动帮你生成的。
助记词 
  • 0xTodd
  • 发布于 2023-07-12
  • 阅读 ( 3567 )

审计准备清单

本文档提供了一份智能合约审计准备清单,旨在帮助开发者在代码审计前进行自查,主要包括代码质量、测试覆盖率、安全工具使用、文档编写等方面,以确保代码的质量和安全性,从而更有效地进行审计。
智能合约  审计  Solidity  安全  测试  静态分析 

SharkTeam:AzukiDAO攻击事件分析

in  智能合约安全
7月3日,AzukiDAO遭到攻击,攻击者获利约6.9万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。**一、**事件分析攻击者地址:0x85D231C204B82915c909A05847CCa8557
  • SharkTeam
  • 发布于 2023-07-06
  • 阅读 ( 2883 )
  • ( 6 )

SharkTeam:4月28日攻击者就已实施攻击-PolyNetwork攻击原理和资产转移分析

in  智能合约安全
7月2日,PolyNetwork被攻击,在多条链上增发了价值三百多亿的资产,攻击者已获利约1000万美元。通过分析,我们发现攻击者在4月28日就已实施了攻击,但当时并没有攻击成功,7月2日再次实施攻击并成功,SharkTeam对本次攻击的攻击原理和黑客目前的资金转移模式进行了分析。一、攻击原理
  • SharkTeam
  • 发布于 2023-07-04
  • 阅读 ( 2811 )
  • ( 4 )