全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Beanstalk 逻辑错误修复审查

Beanstalk是一个基于以太坊的无权限稳定币协议,旨在通过其原生稳定币Bean创建一个租金免费的经济体系。文章还分析了漏洞的具体原因并阐述了修复措施,包括移除了弱点函数和引入了安全的新函数。
Beanstalk  逻辑错误  漏洞修复  智能合约  以太坊  白帽黑客 

闪电贷攻击+业务逻辑漏洞:Platypus Finance事件分析

in  智能合约安全
闪电贷攻击+业务逻辑漏洞:PlatypusFinance事件分析北京时间2023年2月17日凌晨,Avalanche上的DeFi平台PlatypusFinance遭遇闪电贷攻击,被盗走约850万美元。SharkTeam第一时间对此事件进行了技术分析,并总结了安全防范手段,希望后续项目可
  • SharkTeam
  • 发布于 2023-02-17
  • 阅读 ( 4169 )
  • ( 5 )

跨链重入攻击

本文详细探讨了跨链安全中的一种重入攻击向量,指出在构建跨链NFT合约时可能面临的安全风险。通过对危险外部调用的分析,作者提出了如何可能利用这一漏洞进行攻击的策略,并提供了针对性的解决方案。
跨链安全  重入攻击  NFT合约  Solidity  外部调用  安全实践 

攻击事件分析|Platypus遭遇闪电贷,损失$900万

2023年2月17日安全公司CertiKAlert发推:AAVE上发生一起闪电贷攻击,导致稳定币交易项目Platypus损失了900万美元的资产。
  • Ellen
  • 发布于 2023-02-17
  • 阅读 ( 2769 )
  • ( 9 )

cURL审计:一个玩笑如何促成重大发现

Trail of Bits 团队通过对 cURL 命令行接口(CLI)进行模糊测试,发现了多个内存损坏漏洞,包括 use-after-free、double-free 和内存泄漏。
cURL  libcurl  模糊测试  AFL++  内存损坏  漏洞 

攻击事件分析|BEVO 代币deliver攻击事件分析

北京时间2023年1月31日,BEVO代币被攻击,总共损失45000美元,导致BEVO代币的价格下跌了99%。有趣的是,这个事件中还出现了抢跑。被攻击的原因在于`deliver`方法。
  • Ellen
  • 发布于 2023-02-14
  • 阅读 ( 2882 )
  • ( 6 )

Shamir 私钥分割的缺点

本文作者 Jameson Lopp 探讨了 Shamir 私钥分割(SSS)在比特币密钥管理中的应用及其安全性问题。文章分析了 SSS 的多个风险点,包括单点故障、碎片撤回难题、实现复杂性、缺乏标准、社交恢复复杂性、可审计性差、碎片完整性问题以及旁路攻击风险。作者认为 SSS 方案会增加用户面临的风险,相比之下,多重签名是更安全的选择。
Shamir私钥分割  SSS  多重签名  密钥管理  安全  比特币 

零时科技 || 攻击者获利约302万美元,Orion Protocol被攻击事件分析

北京时间2023年2月3日,BSC链与ETH链上Orion Protocol受到黑客攻击,攻击者获利约300万美元,攻击者地址为0x837962b686fd5a407fb4e5f92e8be86a230484bd,被盗资金已转移至Tornado.Cash混币平台。
零时科技  安全审计  区块链安全 

Harvest Finance 未初始化代理漏洞修复回顾— 20 万美元赏金

本文深入分析了 Harvest Finance 协议中 Uniswap V3 vault 代理合约中发现的未初始化实现合约漏洞。
代理模式  delegatecall  UUPS  智能合约升级  安全漏洞  以太坊 

如何快速创建闪电贷及闪电贷攻击

介绍如何快速进行闪电贷的三种工具,以及一些闪电贷的攻击案例和预防
区块链安全  安全事件分析 

Poly Network攻击事后分析

Poly Network 在2023年7月2日遭受攻击,攻击的根本原因可能并非智能合约的逻辑漏洞,而是Poly Network的4个keeper中3个的私钥被盗或滥用。
Poly Network  跨链桥  keeper  私钥  Merkle树  智能合约  安全漏洞 
  • Dedaub
  • 发布于 2023-02-08
  • 阅读 ( 465 )

零时科技 || 损失8800万美元,加密协议BonqDAO被攻击事件分析

polygon链上去中心化借贷协议BONQ受到黑客攻击,攻击者获得了1.13亿个WALTB和9865万个BEUR
零时科技  区块链安全  安全审计 

Damn Vulnerable DeFi Free Rider 题解

本文分析了 Damn Vulnerable DeFi v3 挑战中的 Free Rider 题目,该题目的目标是从NFT市场窃取NFT并排空市场的ETH。文章详细分析了FreeRiderNFTMarketplace.sol合约的buyMany()函数中的漏洞,利用该漏洞可以仅支付最高价格的NFT的价格来购买所有NFT,并通过UniswapV2的闪兑功能获取足够的ETH,最终成功攻击了市场合约。
智能合约安全  重入攻击  以太坊  NFT  闪兑  UniswapV2 
  • Dacian
  • 发布于 2023-02-05
  • 阅读 ( 29 )

Damn Vulnerable DeFi Backdoor 解决方案

本文分析了Damn Vulnerable DeFi v3 Backdoor挑战,该挑战涉及利用Gnosis Safe v1.3.0钱包注册表的漏洞。攻击者通过部署恶意合约,在Gnosis Safe钱包创建过程中利用delegatecall机制,在钱包的上下文中批准攻击合约转移token,最终耗尽注册表中的所有token。
Gnosis Safe  delegatecall  漏洞利用  智能合约  代理合约  安全 
  • Dacian
  • 发布于 2023-02-05
  • 阅读 ( 36 )

破译 BONq DAO 的 1.2 亿美元漏洞

2023年2月1日,BONqDAO遭到预言机攻击。攻击者通过预言机操纵技术完全改变了AllianceBlock的$ALBT代币价格,估计损失约1.2亿美元。
安全事件分析  漏洞分析 

Damn Vulnerable DeFi Climber 解决方案

本文分析了Damn Vulnerable DeFi的Climber挑战,重点在于ClimberTimelock合约的漏洞,该漏洞允许攻击者执行任意代码。
UUPS代理模式  时间锁  访问控制  提权  升级攻击  Damn Vulnerable DeFi 
  • Dacian
  • 发布于 2023-02-04
  • 阅读 ( 30 )

2022年Solana黑客事件详解:虫洞

Wormhole 是一个跨链消息传递协议,允许在支持的链之间转移 tokenized assets。2022年2月,Wormhole 遭受攻击,攻击者通过绕过签名过程,在 Solana 上铸造了 12 万个 wrapped ETH token,价值约 3.38 亿美元。根本原因是签名验证中缺少所有权检查,攻击者能够伪造账户余额,并在另一个区块链上铸造token。
Wormhole  跨链桥  漏洞  攻击  区块链安全  签名验证 
  • Ackee
  • 发布于 2023-01-31
  • 阅读 ( 24 )

BSCAnt3 事件 漏洞分析

1.漏洞简介https://twitter.com/BlockSecTeam/status/16200748737952645122.相关地址或交易攻击交易:https://bscscan.com/tx/0x7360f073c246db7f28a65ace03045736f4b06d2
权限漏洞  漏洞分析  BSC 
  • Archime
  • 发布于 2023-01-31
  • 阅读 ( 4013 )
  • ( 11 )

QTN事件 漏洞分析

1.漏洞简介https://twitter.com/blocksecteam/status/16156258976710041612.相关地址或交易攻击交易:0xfde10ad92566f369b23ed5135289630b7a6453887c77088794552c2a3d1ce8
安全事件分析  漏洞分析 
  • Archime
  • 发布于 2023-01-28
  • 阅读 ( 4291 )
  • ( 8 )

DamnVulnerableDefi ABI 走私挑战攻略(附带信息图)

本文详细讲解了如何通过ABI smuggling漏洞在DamnVulnerableDefi挑战中绕过权限控制并窃取资金,利用Solidity中的calldata结构缺陷实现攻击。
ABI smuggling  Solidity  Calldata  漏洞利用  权限控制  区块链安全