漏洞分析

2022 年 06 月 27 日，据慢雾区消息，XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH（约 380 万美元）。XCarnival 是一个 ETH 链上的 NFT 借贷项目，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。

今日(2019-11-27) 12:06分，成都链安态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所热钱包地址向未知地址通过一笔交易转移超过34万ETH。

据 Jet Protocol 官方博客披露，他们近期修复了一个赏金漏洞，这个漏洞会导致恶意用户可以提取任意用户的存款资金，慢雾安全团队对此漏洞进行了简要分析，并将分析结果分享如下。

据慢雾区情报，2022 年 1 月 28 日 The Sandbox 官方发布一则 LAND 智能合约迁移的公告，但是在公告中没有说明合约具体是出了什么问题，慢雾安全团队现将简要分析结果分享如下。

合约中存在两个漏洞代码注入和逻辑错误，通过漏洞利用,可以达到转移任意用户的Carrot代币。利用过中还涉及一个未开源的pool合约。一句话总结漏洞利用过程：利用代码注入漏洞Carrot合约通过调用pool合约的方法成为pool合约的owner，利用逻辑漏洞绕过转账时的授权检查。

据慢雾安全团队情报，2023 年 11 月 23 日，去中心化交易平台 KyberSwap 遭到攻击，攻击者获利约 5470 万美元。

2022 年 10 月 27 日，据慢雾安全团队情报，Victor the Fortune (VTF) 代币和 V8 protocol (V8) 代币均存在严重漏洞遭到攻击，攻击者分别获利约 5.8 万美元和 5.3 万美元。

可以销毁任意用户的tcrToken代币?听起来好像是损人不利已的鸡肋漏洞，黑客是如何搞到63.9万的USDT的呢？

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

02 月 18 日，bZx 再次遭遇了类似的攻击，这一次的攻击从技术原理与上一次不同，此次黑客是通过操纵 Oracle 价格对 bZx 合约进行了“蒙骗”。

EOSDice 在2018年11月10日再次受到黑客攻击，被盗4,633 EOS，约合 2.51 万美元，针对这个漏洞，零时科技团队进行了详细的分析及攻击过程复盘，尽管这个漏洞已经发生过一段时间，不过因随机数被预测依旧值得大家关注。

TransitSwap安全事件分析

智能合约交易顺序依赖漏洞，欢迎一起学习！