攻击

本文深入探讨了以太坊虚拟机（EVM）的 CREATE 和 CREATE2 操作码，分析了它们在智能合约创建中的不同特性和潜在安全隐患。作者通过具体示例展示了这些操作码在实际应用中的攻击场景，并提出了相应的安全建议，使读者对智能合约开发及安全性有了更深刻的理解。

如何应对区块的堵塞攻击？

该文章详细分析了Cashio协议遭受攻击的原因，并探讨了其智能合约中的漏洞及其如何被Soteria检测到。攻击者利用了缺失的银行账户检查，伪造多个输入账户来成功铸造了200万CASH代币。文章还阐述了如何修复这些漏洞，并强调了Soteria的自动审计工具在检测虚假账户方面的有效性。

bZx平台在短时间内遭遇两次攻击，攻击者通过利用价格预言机的漏洞和操作错误，成功获得了近100万美元的利润。文章详细分析了每次攻击的步骤、引发攻击的原因，以及如何通过使用去中心化预言机来解决预言机问题，以增强DeFi应用程序的安全性。

本文探讨了区块链跨链互操作性的复杂性，并提出了一种将跨链协议分层的框架，以便评估不同架构的安全性。文章详细介绍了基础层、认证层、传输层和接口层的功能，强调了跨链安全原则的重要性，并指出了与单链安全相比的独特挑战。此外，作者预告将在后续部分比较不同的跨链安全模型。

一句话对这个漏洞进行总结：合约中的漏洞是个典型的逻辑漏洞，漏洞主要在Pool合约中的mint方法中，在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM，而合约代码只对FSM进行了销毁，却没有考虑FTM的情况，导致即使用户不输入FTM，也能获得xFTM。

本文讨论了Curve Finance的crvUSD稳定币在审计过程中发现的两处关键安全漏洞。首先是一个任意调用漏洞，它允许攻击者在未经授权的情况下从AMM中提取资金；其次是捐赠攻击，攻击者可以通过特定操作在不同价格范围内盗取用户资金。文中详细分析了这些漏洞的原理以及Curve团队如何进行了修复，并强调了进行外部审计的重要性。

约通常也处理以太，并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持，攻击者可以强制合约执行进一步的代码(通过一个回退函数)，包括对自身的调用。

虽然 The DAO 攻击发生在2016年，但解除攻击的方案依然值得学习。

tx.origin攻击实现，一次调用，转干合约

文章讨论了区块链面临的主要威胁，包括政府攻击和社区内部的反对者，并比较了PoW和PoS共识机制的安全性和效率。

Sharedstake的sgETH合约在2023年8月31日遭到攻击，攻击者通过不当的所有权检查获得了无限铸造sgETH的权限，从而提取了价值约105 ETH的资金。为避免进一步损失，Sharedstake已暂停相关功能并与社区和安全专家合作进行追踪和恢复。

sui 存钱罐涉及的管理权限adminCap 和upgradeCap ，其中upgradeCap 可能绕过adminCap限制