全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

无需许可:Multichain漏洞利用解析

Multichain协议的用户遭到攻击,攻击者利用Multichain智能合约中的漏洞窃取了数百万美元的代币。文章深入分析了漏洞的技术细节,利用Tenderly调试器重放智能合约交易,揭示了攻击者如何通过构造恶意合约、绕过WETH合约的permit函数以及利用用户预先授权的无限额度来窃取资金。文章还总结了漏洞产生的多个因素,并提出了安全建议。
Multichain  漏洞  智能合约  Tenderly调试器  ERC20 permit函数  BaDapprove 

Move智能合约的形式化验证工具

*“程序测试能证明错误的存在, 但不能证明错误不存在” – Edsger Dijkstra*。智能合约是一个对安全性要求非常高的领域,一个不经意的小 bug 很可能会导致不可估量的损失。
形式化验证  Move 

事后分析:Notional Finance 漏洞及正确形式化规范的重要性

文章讲述了 Notional Finance 系统中出现的一个漏洞,该漏洞由于不正确的形式化验证不变量导致。原本旨在防止资产重复的错误不变量实际上是空洞的,无法发现漏洞。随后通过更正后的简单不变量成功检测到该漏洞,并提出了改进规范安全性的措施,包括审计规范、漏洞赏金、技术检查和集成测试工具,以提高代码安全性和规范的准确性。
形式化验证  不变量  Certora Prover  漏洞  Notional Finance  DeFi 
  • Certora
  • 发布于 2022-01-19
  • 阅读 ( 179 )

防止对以太坊的智能合约攻击——代码分析

约通常也处理以太,并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持,攻击者可以强制合约执行进一步的代码(通过一个回退函数),包括对自身的调用。
攻击 

Notional Finance漏洞的事后分析——一个恒真的不变式

Notional Finance在2022年1月7日报告了一个智能合约中的关键漏洞,该漏洞可能导致资产被重复计算。团队使用Certora Prover进行形式验证,但由于一个逻辑错误,导致编写的防止资产既是“位图”又是“活动”状态的不变性条件是空洞的。文章分析了错误和正确的形式化方法,并提出了改进措施,以防止未来出现类似情况,确保代码安全。
形式验证  不变性条件  Certora Prover  漏洞分析  智能合约安全  位图 

引介|一种安全的 LP 价格的获取方法

该方法也不一定是万能的,项目方需要结合自身的场景,合理运用该算法,达到良好的效果。
安全技术研究 

王者开局偶遇猪队友——简析 Alpha Finance & Cream被黑

由于Alpha Finance的问题,导致了两个协议同时遭受了损失。
安全技术研究 

可避天灾,难免人祸 —— Furucombo 被黑分析

避免过度是[授权](https://learnblockchain.cn/article/876),DeFi的安全仍重而道远。
安全技术研究 

铸币疑云 —— Paid Network 被盗细节分析

in  区块链安全问题解析
权限过大,不得不防。
安全技术研究 

开心做聚合,无奈被攻击 —— Rari 被黑事故分析

慢雾安全团队建议在逐渐趋于复杂的情况下,各DeFi项目在进行协议间交互时,需要做好协议之间的兼容性,避免因协议兼容问题导致的损失。
安全技术研究 

我竟骗了我自己?—— BurgerSwap 被黑分析

慢雾安全团队建议DApp 开发者在移植其他协议的代码时,需充分了解移植协议的架构,并充分考虑移植协议和自身项目的兼容性,并且需要通过专业安全审计机构的审计后才上线,防止资金损失情况的发生。
安全技术研究 

走过最长的路,竟是自己的套路 —— Alchemix 事件分析

通过错误的元素获取了错误的收益。
安全技术研究 

“不可思议” 的被黑之旅 —— Impossible Finance 被黑分析

本次攻击的核心在于cheapSwap函数中未进行K值检查,导致攻击者可以通过一次兑换过程中进行多次兑换操作以获得额外的代币。
安全技术研究 

强扭的瓜不甜 —— SafeDollar 被黑分析

此次攻击的核心问题在于“通缩性代币”与构架参考自SUSHI的MasterChef合约不兼容导致的。
黑客攻击 

多维度评判硬件钱包的安全性和可信度

本文提出了一套评估硬件钱包安全性和可信度的标准,包括安全模块是否开源、组件是否可信、供应链是否可信、宣传功能是否真实、声明是否诚实、是否滥用安全证书以及是否支持PSBT。文章旨在引发行业讨论,促进行业自律,为消费者提供更安全的产品。
硬件钱包  安全  开源  供应链  PSBT  可信组件 

梅开二度 —— PancakeBunny 被黑分析

DeFi 收益聚合器PancakeBunny 再次被攻击 。
安全技术研究 

智能合约安全审计入门篇 —— 自毁函数

智能 合约安全审计入门系列之自毁函数。
安全技术研究  智能合约 

科普 | 加密货币诈骗,你中招了吗?(上)

多听多看多辨别。

​零时科技 | DeFi平台Grim Finance攻击事件分析

北京时间2021年12月19日,Grim Finance官方发推文称平台被外部攻击者利用,攻击者盗币价值超过3000万美元
智能合约安全  安全审计  零时科技 

又一经典的闪电贷套利 —— Wault.Finance 被黑事件分析

本次攻击事件是经典的利用闪电贷进行套利的案例,我们建议先对项目在DeFi各种场景下的攻击面进行推演,排查可能的攻击面,对项目进行优化和加固。
安全技术研究