暂无介绍
这个漏洞我在2022年02月23日已经在这里发布过,由于内容比较敏感,发布后没多久就将文件的主要内容都删除了。然而,这个漏洞还是被利用了,March-15-2022 06:28:40 PM +8 UTC,Hundred Finance遭受攻击,黑客获利2363 ETH。Hundred Finance代码源自[Compound](https://learnblockchain.cn/article/3167),文中有在rinkeby上模拟攻击的交易,可以自行核对时间。
整体的思路是[特洛伊木马](https://learnblockchain.cn/article/2635)token的思路,重入masterChef中的 depositByAddLiquidity方法。该方法的核心错误逻辑在于:它只检查了lpToken的地址合法性,没有检查token0,token1的地址合法性。从而让token0可以做成一个特洛伊木马,在token0里面transfer一个合法的token,从而成功添加流动性;而导致deposit重复计算。
本文中 Vitalik 提出了共享安全性,并解释为何它在[跨链](https://learnblockchain.cn/2019/03/23/blockchain_interoperability)和跨 rollup 活动中如此重要。
tx.origin、msg.sender有什么不一样
智能合约安全审计入门系列。
多签地址和拆分备份(例如,Shamir 的密钥分割方案)是两种有效的安全存储方式,可用来长期保管密码学货币。
安全模型可以分为两个部分:假设(assumption)和保证(guarantee)。如果用作输入的假设成立,则安全模型输出的保证也应成立。本文深入探索比特币为其全节点运营者提供的安全模型,比特币是如何做到信任需求最小化的
SMTChecker 检查合约漏洞的超能力
搭建 Paradigm CTF 2021 比赛环境,从入门到放弃~
给人惊吓的代码可能造成恶劣的后果,在两个案例中,开发者都理性地假设了 safe 函数族(至少)会跟普通的函数一样安全而不会增加攻击面。随着 ERC-721 和 ERC-1155 标准变得更加流行,这种攻击可能会越来越频繁。开发者需要考虑使用 safe 函数族的风险,并考虑外部调用会怎样跟自己写下的代码交互。
基于哈希(hash-based)的密码学是最古老的量子安全密码学领域之一,数字签名算法可以追溯到1979年,比椭圆曲线密码学发明还早。
DeFi生态各项目方需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。
从总体上来看,6月典型安全事件较5月略微上升,整个区块链生态的安全态势依然处于【高风险水平】。
Move:为DeFi而生的智能合约语言
Arbitrum 不仅继承了 Optimistic Rollup 方案的安全特性,还在挑战期时长和审查攻击上做了考量。
2226 回答,2125赞同
0 回答,813赞同
5 回答,336赞同
3 回答,174赞同
13 回答,101赞同
0 回答,98赞同
0 回答,89赞同
0 回答,85赞同
38 回答,84赞同
22 回答,78赞同