安全事件分析

编者按：Vyper被黑的时间线和反思从审计的角度重现并提醒开发者注意考虑项目的依赖，本文从开发的角度深度分析并总结了这次漏洞的前因后果

北京时间06月29日凌晨02时03分起，最近因“借贷即挖矿”模式而备受关注DeFi 平台 Balancer 上的 STA 和 STONK 两个 ERC20 通缩代币池遭到了黑客攻击，共计损失了超50万美元。

soda是一个DEFI借贷的合约，其中的逻辑是这样的：用户超额抵押WETH然后贷出SOETH，抵押的WETH可以挖矿，SOETH则可以通过uniswap交易或者参与别的活动。

当用户抵押`WETH...

SharkTeam高保真还原了黑客的漏洞挖掘过程和payload构造逻辑，让我们来一探究竟！

以太坊与Harmony间的资产跨链桥Horizon遭到攻击，损失金额约为1亿美元。

HopeLend是一个去中心化的虚拟货币借贷平台，能够在无需双方单独撮合的情况下，根据资金池状态实现即时贷款。

两次攻击的核心都在于控制预言机价格，并通过操纵预言机价格获利。

据 零时科技 区块链安全威胁情报平台 数据统计，2020年4月，整个区块链生态被公开的区块链安全事件共24起，其中智能合约攻击发生3起，应用漏洞攻击5起，恶意软件攻击4起，51%攻击1起，假EOS攻击1起，恶意欺诈8起，钓鱼攻击2起。

此次黑客利用未授权的函数，扰乱了正常的Godzilla币与USDT的流动池，最终攻击大约套利了2.6万的USDT。

北京时间2022年10月15日，DeFi投资工具Earning.Farm遭受闪电贷攻击，黑客获利超34万美元

7 月 17 日，据慢雾区情报反馈，Premint 遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

bZx 攻击事件是针对 DeFi 项目间共享可组合流动性的设计进行攻击，特别在有杠杆交易及借贷功能的 DeFi 项目里，该问题会更容易被利用。

本文将以Nomad资金被盗事件为例，在链上分析过程中揭开Tornado Cash的神秘面纱。