全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

智能合约安全审计入门篇 —— 随机数

本期我们将带大家了解智能合约中一个经常被用到的东西——随机数。
安全技术研究  安全审计  智能合约 

太空哥斯拉(SpaceGodzilla)攻击事件分析

此次黑客利用未授权的函数,扰乱了正常的Godzilla币与USDT的流动池,最终攻击大约套利了2.6万的USDT。
安全事件分析  漏洞分析 
  • 小驹
  • 发布于 2022-07-16
  • 阅读 ( 5572 )
  • ( 24 )

[经典攻击事件分析]xSurge事件中的重入漏洞+套利的完美组合利用

本文将重点分析和复现xSurge的攻击过程。该漏洞利用的代码是`重入漏洞的典型代码`,但`利用过程却不是重入`。应该是”最像重入漏洞的套利漏洞”。价格计算机制既然可以从数学上证明存在漏洞,能不能用数学的方法来挖掘此类的漏洞?
安全事件分析  重入攻击  套利 
  • 小驹
  • 发布于 2022-07-14
  • 阅读 ( 5176 )
  • ( 6 )

零时科技 || Uniswap v3出现漏洞?No,新型钓鱼来袭!

2022年7月12日早6时,币安交易平台CEO赵长鹏发推表示,通过威胁情报在 ETH 区块链上检测到 Uniswap V3 潜在漏洞,到目前为止,黑客已经窃取了 4295 ETH。并给出了黑客转移资金的相关地址。
钓鱼攻击  安全审计 

从 The Saudis NFT 事件浅析 EIP-2535 钻石协议

2022 年 7 月 10 号,一个火热的 NFT 项目 TheSaudis 开启了 freemint 活动(白名单用户可以免费铸造其 NFT)。
安全技术研究  ERC2535 

tx.origin安全问题总结

在合约代码中,最常用的是使用msg.sender来检查授权,但有时由于有些程序员不熟悉tx.origin和msg.sender的区别,如果使用了tx.origin可能导致合约的安全问题。黑客最典型的攻击场景是利用`tx.origin的代码问题常与钓鱼攻击相结合的组合拳`的方式进行攻击。
安全审计  智能合约安全  Solidity 
  • 小驹
  • 发布于 2022-07-04
  • 阅读 ( 4584 )
  • ( 19 )

如何从完美无瑕的智能合约中窃取 1 亿美元

作者披露了Moonbeam网络中一个严重的设计缺陷,该缺陷可能导致DeFi项目损失超过1亿美元的资产。该漏洞与delegatecall和原生合约的交互有关,恶意合约可以利用Balance ERC-20预编译合约中的漏洞,冒充调用者进行未经授权的操作,从而窃取资金。作者通过负责任的披露,帮助Moonbeam和Moonwell团队修复了漏洞,避免了潜在的巨大损失。
delegatecall  智能合约  漏洞  Moonbeam  预编译合约  安全 
  • pwning
  • 发布于 2022-06-29
  • 阅读 ( 505 )

零时科技 || XCarnival遭遇攻击,黑客获利3000余枚ETH事件分析

攻击者主要通过多次质押借贷和取出NFT获取大量和自己地址对应订单id,随后通过多次调用借款方法取出大量资金......
黑客攻击  区块链安全 

XCarnival NFT 借贷协议漏洞分析

2022 年 06 月 27 日,据慢雾区消息,XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH(约 380 万美元)。XCarnival 是一个 ETH 链上的 NFT 借贷项目,目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。
安全技术研究  借贷  漏洞分析 

智能合约安全审计入门篇 —— delegatecall (2)

[上篇文章](https://learnblockchain.cn/article/4125)中我们了解了什么是 delegatecall 函数以及一个基础的漏洞,这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,拿下一个进阶版的漏洞合约。
安全技术研究  delegatecall  智能合约 

保护你的钱包!假钱包全景追踪

慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。今天我们从大数据侧分析,到底有多少假钱包。
安全技术研究  钱包 

WEB3 安全系列 || 攻击类型和经验教训

在Web3的世界中,我们更应该如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。
Web3  黑客攻击  安全审计  智能合约安全 

深冷存儲:如何更安全保管您的助記詞

本文介绍了深冷存储的概念,即离线保存数字货币资产并传承下去。文章列举了四种深冷存储的实践方案,包括纸张/金属存储、异地备份、Shamir秘密共享方案(SSSS)以及结合AES加密和SSSS的方案。最后,文章提出普通用户可以通过手动将助记词分成三片,每片包含16个单词的方式来有效使用SSSS方案,并分析了破解难度。
深冷存储  助记词  Shamir秘密共享方案  SSSS  AES加密  硬件钱包 

【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件

in  智能合约安全
6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。
区块链安全  链上分析 
  • SharkTeam
  • 发布于 2022-06-16
  • 阅读 ( 4501 )
  • ( 4 )

真实攻击案例分析系列之Fantasm Finance攻击事件分析

一句话对这个漏洞进行总结:合约中的漏洞是个典型的`逻辑漏洞`,漏洞主要在`Pool合约`中的`mint`方法中,在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM,而合约代码只对FSM进行了销毁,却`没有考虑FTM`的情况,导致即使用户不输入FTM,也能获得xFTM。
攻击  逻辑漏洞 
  • 小驹
  • 发布于 2022-06-16
  • 阅读 ( 3247 )
  • ( 6 )

dapp安全总结与典型安全事件

以太坊以及EVM的诞生使得 `Dapp`这种新的业务形态成为可能。总的来说,EVM实现了一个全局的状态机,为所有的 `Dapp`提供了统一的状态空间;实现了图灵完备,并抽象出了账户模型,账户之间可以相...
DApp  区块链安全 
  • jianghai
  • 发布于 2022-06-15
  • 阅读 ( 6709 )
  • ( 90 )

C.R.E.A.M Hack with Yearn

独乐乐,不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路,以及POC。
  • bixia1994
  • 发布于 2022-06-15
  • 阅读 ( 3030 )
  • ( 3 )

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
漏洞分析  MetaMask  钱包 

Yearn Finance 如何处理 War Room 情况

本文分析了 Yearn Finance 在应对 Web3 紧急情况时采取的结构化方法,重点介绍了 War Room 的关键角色、职责以及如何根据 Yearn Finance 的检查清单制定行动计划,为读者提供了一份实用的应急处理指南,强调了提前准备和有效沟通的重要性。
Web3  安全事件  应急预案  Yearn Finance  War Room  事件响应 

如何使用 Tenderly War Rooms 处理紧急情况

Tenderly 推出了 War Rooms,它提供了一个结构化的框架,用于处理时间敏感的情况,特别是Web3中的智能合约漏洞、黑客攻击和漏洞利用。War Rooms主要由 Call Trace、Evaluate Expression 和 Annotation & Prioritization 三个功能组成,旨在帮助团队快速定位问题、调试错误并减轻潜在后果。
tenderly  War Rooms  Call Trace  Evaluate Expression  Annotation  Prioritization  调试