漏洞

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件，揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。

本文主要介绍了智能合约审计的准备工作，包括选择审计机构、审计范围和定价、审计流程、整体方法、预定审计时间、代码准备、审计费用和包含内容，以及审计准备情况，强调了全面审计对于确保项目安全和成功的投资的重要性。

以太坊基金会宣布启动“万亿美元安全计划”，旨在通过生态系统范围内的努力，提升以太坊的安全性，目标是让数十亿用户能够安全地在链上存储超过1000美元，并让公司、机构或政府能够在单个合约或应用中安全地存储超过1万亿美元的价值。该计划包括评估安全优势和攻击途径、实施改进措施以及加强安全沟通。

2024年4月19日，Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程，包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险，最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。

本文对Substrate平台上的审计过程进行深入探讨，分析了常见漏洞和提供的工具，以加固区块链项目的安全性。作者还对Acala平行链的流动质押模块进行了系统分析，指出了一些建议和注意事项，对开发人员在进行审计时具有重要参考价值。

2024年1月8日，CvxRewardDistributor合约出现了一处漏洞，导致黑客铸造并出售了5800万CVG代币，约价值21万美元。

本文讨论了Kusama网络中Karura链发生的一次安全事件，攻击者利用了XCM协议的配置错误和旧版代码的漏洞，导致Karura链上的KSM代币被盗。文中详细描述了事件的经过、措施以及从中汲取的教训，强调了在引入未审计代码时进行仔细验证的重要性，以及如何通过引入更加严格的代码审查和应对机制来增强系统安全性。

Cyfrin发布了五月份的区块链安全和教育新闻，内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外，还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程，以及CodeHawks成功案例。最后，文章还讨论了高调黑客攻击和安全事件，并给出了行业新闻和建议。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。

本文分析了Damn Vulnerable DeFi V4挑战中的Truster漏洞。该漏洞存在于flashLoan()函数中，允许通过target.functionCall(data)执行任意函数调用，攻击者可以利用此漏洞，无需借款即可通过调用approve()函数获得授权，转移pool中的所有tokens到攻击者地址，最终成功攻击。

本文详细介绍了2017年发生的Parity钱包黑客事件，包括事件的背景、时间线、导致漏洞的根本原因、影响以及Parity Technologies采取的应对措施。文章强调了智能合约开发和代码审计的重要性，并提醒区块链社区加强安全措施。

本文详细介绍了Fuel协议在Immunefi平台上举办的Attackathon活动中发现的五个关键漏洞，包括漏洞的严重性、影响、资产及修复情况。

本文分析了Damn Vulnerable DeFi V4挑战中的Puppet问题，该问题利用了DeFi借贷协议中价格预言机操纵漏洞。攻击者通过操纵Uniswap V1交易所的DVT/ETH价格，降低抵押品要求，从而借出资金池中的所有DVT代币，并将它们发送到指定的恢复地址。解决方案包括出售大量DVT代币以操纵价格，然后从池中借入DVT代币。