全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

cURL审计:一个玩笑如何促成重大发现

Trail of Bits 团队通过对 cURL 命令行接口(CLI)进行模糊测试,发现了多个内存损坏漏洞,包括 use-after-free、double-free 和内存泄漏。
cURL  libcurl  模糊测试  AFL++  内存损坏  漏洞 

攻击事件分析|BEVO 代币deliver攻击事件分析

北京时间2023年1月31日,BEVO代币被攻击,总共损失45000美元,导致BEVO代币的价格下跌了99%。有趣的是,这个事件中还出现了抢跑。被攻击的原因在于`deliver`方法。
  • Ellen
  • 发布于 2023-02-14
  • 阅读 ( 2885 )
  • ( 6 )

Shamir 私钥分割的缺点

本文作者 Jameson Lopp 探讨了 Shamir 私钥分割(SSS)在比特币密钥管理中的应用及其安全性问题。文章分析了 SSS 的多个风险点,包括单点故障、碎片撤回难题、实现复杂性、缺乏标准、社交恢复复杂性、可审计性差、碎片完整性问题以及旁路攻击风险。作者认为 SSS 方案会增加用户面临的风险,相比之下,多重签名是更安全的选择。
Shamir私钥分割  SSS  多重签名  密钥管理  安全  比特币 

零时科技 || 攻击者获利约302万美元,Orion Protocol被攻击事件分析

北京时间2023年2月3日,BSC链与ETH链上Orion Protocol受到黑客攻击,攻击者获利约300万美元,攻击者地址为0x837962b686fd5a407fb4e5f92e8be86a230484bd,被盗资金已转移至Tornado.Cash混币平台。
零时科技  安全审计  区块链安全 

Harvest Finance 未初始化代理漏洞修复回顾— 20 万美元赏金

本文深入分析了 Harvest Finance 协议中 Uniswap V3 vault 代理合约中发现的未初始化实现合约漏洞。
代理模式  delegatecall  UUPS  智能合约升级  安全漏洞  以太坊 

如何快速创建闪电贷及闪电贷攻击

介绍如何快速进行闪电贷的三种工具,以及一些闪电贷的攻击案例和预防
区块链安全  安全事件分析 

Poly Network攻击事后分析

Poly Network 在2023年7月2日遭受攻击,攻击的根本原因可能并非智能合约的逻辑漏洞,而是Poly Network的4个keeper中3个的私钥被盗或滥用。
Poly Network  跨链桥  keeper  私钥  Merkle树  智能合约  安全漏洞 
  • Dedaub
  • 发布于 2023-02-08
  • 阅读 ( 465 )

零时科技 || 损失8800万美元,加密协议BonqDAO被攻击事件分析

polygon链上去中心化借贷协议BONQ受到黑客攻击,攻击者获得了1.13亿个WALTB和9865万个BEUR
零时科技  区块链安全  安全审计 

Damn Vulnerable DeFi Free Rider 题解

本文分析了 Damn Vulnerable DeFi v3 挑战中的 Free Rider 题目,该题目的目标是从NFT市场窃取NFT并排空市场的ETH。文章详细分析了FreeRiderNFTMarketplace.sol合约的buyMany()函数中的漏洞,利用该漏洞可以仅支付最高价格的NFT的价格来购买所有NFT,并通过UniswapV2的闪兑功能获取足够的ETH,最终成功攻击了市场合约。
智能合约安全  重入攻击  以太坊  NFT  闪兑  UniswapV2 
  • Dacian
  • 发布于 2023-02-05
  • 阅读 ( 31 )

Damn Vulnerable DeFi Backdoor 解决方案

本文分析了Damn Vulnerable DeFi v3 Backdoor挑战,该挑战涉及利用Gnosis Safe v1.3.0钱包注册表的漏洞。攻击者通过部署恶意合约,在Gnosis Safe钱包创建过程中利用delegatecall机制,在钱包的上下文中批准攻击合约转移token,最终耗尽注册表中的所有token。
Gnosis Safe  delegatecall  漏洞利用  智能合约  代理合约  安全 
  • Dacian
  • 发布于 2023-02-05
  • 阅读 ( 37 )

破译 BONq DAO 的 1.2 亿美元漏洞

2023年2月1日,BONqDAO遭到预言机攻击。攻击者通过预言机操纵技术完全改变了AllianceBlock的$ALBT代币价格,估计损失约1.2亿美元。
安全事件分析  漏洞分析 

Damn Vulnerable DeFi Climber 解决方案

本文分析了Damn Vulnerable DeFi的Climber挑战,重点在于ClimberTimelock合约的漏洞,该漏洞允许攻击者执行任意代码。
UUPS代理模式  时间锁  访问控制  提权  升级攻击  Damn Vulnerable DeFi 
  • Dacian
  • 发布于 2023-02-04
  • 阅读 ( 32 )

2022年Solana黑客事件详解:虫洞

Wormhole 是一个跨链消息传递协议,允许在支持的链之间转移 tokenized assets。2022年2月,Wormhole 遭受攻击,攻击者通过绕过签名过程,在 Solana 上铸造了 12 万个 wrapped ETH token,价值约 3.38 亿美元。根本原因是签名验证中缺少所有权检查,攻击者能够伪造账户余额,并在另一个区块链上铸造token。
Wormhole  跨链桥  漏洞  攻击  区块链安全  签名验证 
  • Ackee
  • 发布于 2023-01-31
  • 阅读 ( 29 )

BSCAnt3 事件 漏洞分析

1.漏洞简介https://twitter.com/BlockSecTeam/status/16200748737952645122.相关地址或交易攻击交易:https://bscscan.com/tx/0x7360f073c246db7f28a65ace03045736f4b06d2
权限漏洞  漏洞分析  BSC 
  • Archime
  • 发布于 2023-01-31
  • 阅读 ( 4014 )
  • ( 11 )

QTN事件 漏洞分析

1.漏洞简介https://twitter.com/blocksecteam/status/16156258976710041612.相关地址或交易攻击交易:0xfde10ad92566f369b23ed5135289630b7a6453887c77088794552c2a3d1ce8
安全事件分析  漏洞分析 
  • Archime
  • 发布于 2023-01-28
  • 阅读 ( 4291 )
  • ( 8 )

DamnVulnerableDefi ABI 走私挑战攻略(附带信息图)

本文详细讲解了如何通过ABI smuggling漏洞在DamnVulnerableDefi挑战中绕过权限控制并窃取资金,利用Solidity中的calldata结构缺陷实现攻击。
ABI smuggling  Solidity  Calldata  漏洞利用  权限控制  区块链安全 

罚没的密码经济学

本文深入探讨了权益证明(PoS)协议中“罚没”机制的重要性,通过腐败分析模型,揭示了无罚没机制的PoS协议易受贿赂攻击的脆弱性。文章论证了引入罚没机制能够有效提高攻击成本,增强协议的安全性,并讨论了罚没机制的潜在问题及应对措施。强调了在特定场景下,罚没机制对提升整个区块链生态系统安全性的潜在价值。
权益证明  罚没  贿赂攻击  腐败分析模型  安全性  BFT协议 

智能合约安全审计入门:拒绝服务攻击

本文探讨了智能合约中的拒绝服务(DoS)攻击,并提供了一个 KingOfEther 合约的漏洞示例,解释了攻击原理,并给出了修复建议。文章还从开发者和审计员的角度,分析了如何避免和检测此类漏洞,包括代码逻辑错误、外部调用处理不当以及权限管理不当等问题。
拒绝服务攻击  智能合约  以太坊  漏洞分析  代码审计  安全性 

2022 年全球 Web3 安全和反洗钱报告

2022年,监测到Web3领域超过167次重大攻击,各类攻击总损失约36亿美元,较2021年增长47.4%。其中,10起安全事件单次损失超过1亿美元21起安全事件的攻击和损失从1000万美元到1亿美元不等。
区块链安全  Web3  安全事件分析 

Jarvis Network闪贷及重入攻击分析

UTC时间2023年1月15日下午05:43:37,根据Numen的链上监测,Jarvis_Network项目遭到攻击,损失663101个MATIC。
安全事件分析  闪电贷  重入攻击