约通常也处理以太,并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持,攻击者可以强制合约执行进一步的代码(通过一个回退函数),包括对自身的调用。
该方法也不一定是万能的,项目方需要结合自身的场景,合理运用该算法,达到良好的效果。
由于Alpha Finance的问题,导致了两个协议同时遭受了损失。
避免过度是授权,DeFi的安全仍重而道远。
权限过大,不得不防。
慢雾安全团队建议在逐渐趋于复杂的情况下,各DeFi项目在进行协议间交互时,需要做好协议之间的兼容性,避免因协议兼容问题导致的损失。
慢雾安全团队建议DApp 开发者在移植其他协议的代码时,需充分了解移植协议的架构,并充分考虑移植协议和自身项目的兼容性,并且需要通过专业安全审计机构的审计后才上线,防止资金损失情况的发生。
通过错误的元素获取了错误的收益。
本次攻击的核心在于cheapSwap函数中未进行K值检查,导致攻击者可以通过一次兑换过程中进行多次兑换操作以获得额外的代币。
此次攻击的核心问题在于“通缩性代币”与构架参考自SUSHI的MasterChef合约不兼容导致的。
DeFi 收益聚合器PancakeBunny 再次被攻击 。
智能 合约安全审计入门系列之自毁函数。
多听多看多辨别。
北京时间2021年12月19日,Grim Finance官方发推文称平台被外部攻击者利用,攻击者盗币价值超过3000万美元
本次攻击事件是经典的利用闪电贷进行套利的案例,我们建议先对项目在DeFi各种场景下的攻击面进行推演,排查可能的攻击面,对项目进行优化和加固。
空手套白狼 —— Popsicle 被黑分析
智能合约安全审计入门系列之溢出漏洞。
损失共计超6.1亿美元!
本次攻击可能源于DAO Maker 受害合约的管理员私钥泄露。
目前已经发现黑客正在通过社工的多种诈骗手段,来盗取用户的数字资产,例如伪造钱包域名,伪装成客服人员等诈骗手段。
扫一扫 - 使用登链小程序
103 篇文章,414 学分
184 篇文章,208 学分
11 篇文章,154 学分
15 篇文章,150 学分
29 篇文章,134 学分