分享百科

漏洞

揭密1300万美元的Abracadabra GMX V2漏洞

本文详细分析了Abracadabra平台的GMX V2 CauldronV4漏洞,攻击者利用内部分数值未正确更新的设计缺陷,导致平台损失超过1300万美元。通过复杂的交易结构,攻击者能够在未实际提供足够抵押的情况下提取资金。文章探讨了这次攻击的机制、影响及预防建议。
Abracadabra  GMX V2  漏洞  DeFi  攻击分析  智能合约 

以太坊智能合约安全建议和最佳实践

本文档提供了以太坊智能合约的安全建议和最佳实践,涉及ERC20代币标准、EVM特性、重入攻击、算术溢出、自毁函数、调用函数、gas限制、编译版本、合约部署、代码规范、代码审计等多方面的安全问题,并针对这些问题提供了相应的解决方案和防范措施。同时,本文档还列举了一些常用的安全工具,帮助开发者进行智能合约的安全分析和测试。
以太坊  智能合约  安全  Solidity语言  漏洞  最佳实践 

在开发过程中保护协议 - 从高级不变式到池排空漏洞

本文介绍了SushiSwap即将推出的Trident平台中的一个池排空漏洞及其修复过程。通过三个步骤,文章详细阐述了如何通过形式化验证技术发现此漏洞,并详细描述了恶意用户如何利用该漏洞进行攻击,最后介绍了SushiSwap所采取的修复措施。
Liquidity Pool  漏洞  形式化验证  Sushiswap  攻击  DeFi 

Gains Network某些分叉中的问题

本文讨论了Gains Network的一个分叉存在的两个严重漏洞,这些漏洞可能导致用户从流动性池中丢失资金。文章详细介绍了Gains的工作原理,以及如何利用这些漏洞进行高达900%的交易利润,最后提及了相关的补救措施和修复方案。
Gains Network  漏洞  流动性池  交易利润  智能合约  安全审计 
  • zellic
  • 发布于 2024-04-20
  • 阅读 ( 127 )

黑客分析:Platypus Finance,2023年2月

2023年2月16日,Platypus Finance协议遭受黑客攻击,损失约850万美元的稳定币抵押品,原因是其稳定币USP的偿付能力检查机制存在逻辑错误。攻击者能够利用该漏洞,借助闪电贷抵押品进行借款,然后在未偿还债务的情况下提取抵押品。本文深入分析了Platypus Finance合约中的漏洞,并创建了漏洞利用PoC,强调了适当验证的重要性,尤其是在打破正常流程的特殊函数方面。
Platypus Finance  漏洞  智能合约  以太坊  DeFi  攻击 

在Astar中发现关键漏洞

2023年11月,研究员Faith在Astar上发现了一种漏洞,攻击者可以利用该漏洞窃取价值约40万美元的代币。该漏洞涉及EVM上的智能合约与ERC-20资产的转账操作。通过对漏洞的检测和示例,文章深入分析了漏洞的原理、影响及修复措施。
Astar  漏洞  ERC-20  智能合约  EVM  安全研究 
  • zellic
  • 发布于 2023-12-06
  • 阅读 ( 97 )

Piger Fabrica综合征:公钥加密的终结?

文章指出研究人员发现数字2不是质数,导致依赖质数的公钥加密技术存在漏洞。许多在线安全系统依赖质数进行加密,如RSA。由于移动设备为了提高计算速度使用了2作为质数,黑客可以利用这个漏洞破解密钥,特别是在使用存在漏洞的Python库PieCryptoMm的移动设备上。文章最后指出这其实是愚人节玩笑。
质数  公钥加密  RSA  漏洞  网络安全  PieCryptoMm 

使用虚假证明攻击欠约束的Circom电路

in  零知识证明之书

本文深入探讨了 Circom 中的 <-- 操作符的一个潜在漏洞,展示了如何通过创建伪造的见证文件来利用这一漏洞,从而违背开发者对电路期望的假设。在详细的步骤中,介绍了生成有效证明的过程,以及如何修改二进制见证文件以实现攻击。此漏洞的理解对于开发安全的电路至关重要。
circom  漏洞  证明  见证  电路  安全 

收益聚合器的常见陷阱:Beefy 案例研究

本文深入探讨了Yield Aggregators(收益聚合器)的安全问题,以Beefy Finance为案例,强调了DeFi项目中的多种安全风险和审计要求。作者讨论了收益聚合器如何通过策略实现收益最大化,并且指出了在计算收益、资产管理以及代币特性方面的潜在攻击向量。读者能够通过案例分析,更清楚地了解Yield Aggregators的复杂性与安全性。
收益聚合器  安全分析  Beefy Finance  DeFi  智能合约  漏洞 

Web3 死亡回声:发现并修复 NEAR 中导致链瘫痪的漏洞

本文详细介绍了 NEAR Protocol 的 P2P 网络层中的一项漏洞,该漏洞允许攻击者通过发送恶意握手消息来崩溃任何节点,从而导致整个区块链网络的瘫痪。文章深入分析了区块链的内部组件,特别是网络层和握手机制的实现,并探讨了代码中的两个主要漏洞。最后,作者分享了如何进行漏洞验证和修复的过程。
NEAR Protocol  P2P 网络  智能合约  网络安全  握手机制  漏洞 
  • zellic
  • 发布于 2024-09-27
  • 阅读 ( 181 )

移动平均——去中心化金融数学:用例和脆弱性

本文深入探讨了移动平均线在去中心化金融(DeFi)中的应用及其潜在的风险和漏洞,包括在传统金融中的使用差异、具体用例以及防范措施。移动平均线不仅能平滑价格波动,还影响智能合约的功能,如自动化市场制造商和借贷协议,同时也存在被操纵的风险,作者提出了最佳实践以增强安全性。
移动平均线  去中心化金融  智能合约  价格预言机  风险管理  漏洞 
  • bloqarl
  • 发布于 2024-08-13
  • 阅读 ( 168 )

形式化验证助力发现偿付能力漏洞——Balancer V2漏洞报告

本文详细描述了在 Balancer V2 中发现的一个由 Certora 团队通过形式化验证发现的偿付能力漏洞。该漏洞允许用户通过将贷款分割成小额多次来逃避闪电贷费用,从而导致 Vault 的偿付能力受损。Balancer 团队通过要求 token 地址数组按严格升序排列解决了这个问题。
形式化验证  Balancer V2  闪电贷  漏洞  偿付能力  DeFi 

CashioApp攻击 - 漏洞是什么以及X-Ray如何检测它

该文章详细分析了Cashio协议遭受攻击的原因,并探讨了其智能合约中的漏洞及其如何被Soteria检测到。攻击者利用了缺失的银行账户检查,伪造多个输入账户来成功铸造了200万CASH代币。文章还阐述了如何修复这些漏洞,并强调了Soteria的自动审计工具在检测虚假账户方面的有效性。
Cashio  智能合约  漏洞  Soteria  攻击  区块链安全 
  • Sec3dev
  • 发布于 2022-03-25
  • 阅读 ( 185 )

什么是智能合约审计及如何选择合作伙伴

这篇文章详细探讨了智能合约审计的重要性及选择合适合作伙伴时需考虑的关键因素。作者通过成功与失败的案例分析,强调了审计在保护用户资产和维护项目信誉中的重要角色。此外,文章还介绍了审计过程的具体步骤及最佳安全实践,这些信息对区块链开发者和项目经理具有指导意义。
智能合约  审计  区块链安全  DeFi  漏洞  最佳实践 

NFT项目常见的安全漏洞及防范措施

随着NFT项目的逐渐普及,其安全问题也愈加突出。本文详细分析了最近的NFT黑客事件,介绍了NFT社区的安全风险及最佳实践。通过提升安全意识和技术,社区管理者和开发者可以有效保护其项目安全。
NFT  黑客  安全最佳实践  智能合约  社区管理  漏洞 
登链社区