重入攻击

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历，特别是发现并报告了Curve池中的重入攻击漏洞，最终获得了高额赏金。

Rho Markets在Scroll上的Compound V2分叉版本由于ETH预言机配置错误，导致750万美元的坏账。MEV机器人利用此错误进行套利，但最终归还了资金。事件强调了严格审查部署程序的重要性，即使没有智能合约漏洞，也必须确保更新不会破坏协议的任何不变量。

本文探讨了Solidity智能合约中常见的安全漏洞，包括访问控制失效、未经验证的外部调用、重入攻击、整数溢出/下溢、Gas耗尽情况、Oracle数据陈旧和操纵等问题。强调了智能合约安全的重要性，并建议开发者在部署前进行代码审计，并使用安全工具来尽早发现和修复漏洞。

[100个Solidity使用技巧]1.合约重入攻击

Defrost_Finance重入漏洞分析

文章介绍了多合约重入锁的设计与实现，通过全局重入锁和可重用的修饰器来防止多合约间的重入攻击，确保系统状态改变时的安全性。文章还提供了代码示例和测试方法，帮助开发者理解和应用这一技术。

本文深入分析了 Abracadabra Money 遭受的 650 万美元攻击事件，重点剖析了 Cauldron V4 合约的漏洞利用原理。

智能合约安全——重入漏洞

本文探讨了Solidity编程语言的学习难度，尽管语言本身与JavaScript等类似，快速上手可能性高，但深入理解以太坊环境及一些独特特性如gas成本、I/O操作以及重入攻击等，则需要时间和经验。文章通过代码示例展示了常见的陷阱和挑战，强调了在掌握Solidity语言之后，还需大量实践才能精通以太坊生态系统。

jaypeggerz 重入漏洞

本文总结了2023年7月发生的四起DeFi安全事件，Palmswap由于价格操纵损失90万美元，LibertiVault由于重入攻击损失45万美元，Bamboo AI由于价格操纵损失5.3万美元，Biswap由于访问控制漏洞损失86.5万美元。这些事件提醒人们，DeFi项目中信任假设和缺失的安全措施会导致重大损失。

在可重入攻击中，恶意合约在被攻击合约的第一个函数执行完成前在再次调用合约，这可能导致函数调用与预期行为不一致。

在这篇文章中，我们探讨了Vyper智能合约中重入攻击的机制、案例以及防御方法。重入攻击是一种严重的安全威胁，当合约在发送资金之前未能更新其状态时，攻击者可以通过递归调用提取函数来耗尽合约资金。重入攻击不仅仅在solidity中很常见，在Vyper智能合约中同样应该注意！

本文分析了Damn Vulnerable DeFi V4第5题The Rewarder中的漏洞。该漏洞存在于claimRewards()函数中，由于合约在处理完所有claims后才标记为已领取，攻击者可以通过提交多个相同Merkle proof的claim，多次领取奖励，从而耗尽合约中的token。文章还提供了防止此漏洞的机制。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。