合约漏洞

本文详细分析了以太坊DeFi平台Lendf.Me遭受的重入攻击，损失约2469万美元。文章介绍了攻击过程、合约的漏洞以及攻击者如何利用这些漏洞在单一交易中伪造余额获取资金。文中还提供了防御建议，包括使用重入保护机制和通过第三方审计来提高安全性。

文章深入探讨了如何有效利用ChatGPT作为安全审计工具，提供了多种实践提示和示例，包括如何查找合约中的漏洞、简化代码、检查不变式以及生成有针对性的问题。文章强调了GPT在安全审计中的应用潜力，同时也提醒审计人员注意其局限性，例如输入大小的限制和可能存在的误报。

2025.1.5日SorStaking合约遭受逻辑漏洞攻击，只损失了43K。本文对此次攻击进行梳理。

Sharedstake的sgETH合约在2023年8月31日遭到攻击，攻击者通过不当的所有权检查获得了无限铸造sgETH的权限，从而提取了价值约105 ETH的资金。为避免进一步损失，Sharedstake已暂停相关功能并与社区和安全专家合作进行追踪和恢复。

2024年3月9日，$JUICE质押合约遭到攻击，攻击者通过多次交易盗取了1,303,811个$JUICE代币，并在Uniswap上立即卖出，获利约54 ETH。团队立即采取措施，关闭质押网站并启动调查。团队决定向受影响用户进行1:1代币空投，并使用部分ETH回购并销毁代币，以稳定价格。未来将加强智能合约安全审计。

9月初发生了一次针对penpie合约的攻击，造成约2700万美金的损失。我对这次攻击进行了梳理，分析了漏洞成因，总结了攻击步骤，并且完成了一份PoC，本地测试可获利2000多ETH。本次攻击的本质是重入漏洞。