本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”,允许攻击者利用闪电贷,先借出资金并存回,然后在合约账户中获得信用,最后提取所有资金。文章提供了攻击流程以及相应的解决方案,并提出了预防措施,即闪电贷合约应使用transferFrom()函数从用户合约提取资金。
4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元,其中绝大多数(3.18亿美元)与网络钓鱼攻击有关。
Cyfrin发布了五月份的区块链安全和教育新闻,内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外,还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程,以及CodeHawks成功案例。最后,文章还讨论了高调黑客攻击和安全事件,并给出了行业新闻和建议。
本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战,该挑战通过操纵会计系统实现拒绝服务攻击。
本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址,以检测恶意地址。
本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据,解码出两个预言机报告者的私钥,攻击者可以利用这些私钥操纵NFT价格,低价购买后再以高价卖出,从而获利。
本文分析了Damn Vulnerable DeFi V4挑战中的 Naive Receiver 漏洞。该挑战结合了闪电贷滥用和元交易转发器的安全问题。攻击者可以通过强制对 FlashLoanReceiver 进行闪电贷,支付手续费来耗尽其资金。然后,通过构造包含池部署者地址的元交易,冒充部署者提取池中的所有资金。
本文分析了Damn Vulnerable DeFi V4挑战中的Truster漏洞。该漏洞存在于flashLoan()函数中,允许通过target.functionCall(data)执行任意函数调用,攻击者可以利用此漏洞,无需借款即可通过调用approve()函数获得授权,转移pool中的所有tokens到攻击者地址,最终成功攻击。
本文分析了Damn Vulnerable DeFi V4第5题The Rewarder中的漏洞。该漏洞存在于claimRewards()函数中,由于合约在处理完所有claims后才标记为已领取,攻击者可以通过提交多个相同Merkle proof的claim,多次领取奖励,从而耗尽合约中的token。文章还提供了防止此漏洞的机制。
扫一扫 - 使用登链小程序
406 篇文章,432 学分
116 篇文章,423 学分
172 篇文章,351 学分
37 篇文章,302 学分
121 篇文章,278 学分
CoinsBench
零时科技
cyfrin
QuickNode
