Dacian是Cyfrin.io的审计团队负责人,在智能合约安全领域拥有丰富的经验,其研究成果广泛分享。他曾领导多个知名协议的私有审计,发现并报告了多个智能合约漏洞,并获得了高额的漏洞赏金。他擅长识别各种智能合约漏洞,并在多个会议上发表过关于智能合约安全的演讲。
Dacian 是 cyfrin.io 的审计团队负责人,他发表的 深度研究 安全研究经常在 Twitter 上分享,并在诸如 BlockThreat 等备受瞩目的区块链安全新闻通讯中发布 [ 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15]。Dacian 一些最值得关注的安全研究出版物包括:
Dacian 曾在以下智能合约安全会议上发表演讲:
2024 年 DeFi 安全峰会 - 使用不变性模糊测试查找高危漏洞的研讨会(未录制)
Dacian 曾为 Wormhole、Swell、Solidly、Beefy、Ondo、Linea [ 1, 2], DeXe 等协议以及 Libre Capital 等 TradFi 平台领导了成功的私有审计。
Dacian 因发现一个实时智能合约中的漏洞而获得了 $28,000 美元的漏洞赏金,该漏洞结合了缺失的访问控制和未检查的状态转换漏洞,导致合约管理员、未来的代币通货膨胀和质押奖励永久失效。
Dacian 可以识别各种智能合约漏洞;Dacian 公开的一些发现包括:
交易者可以使用多个活跃市场使自己无法被清算,从而触发清算回滚,原因是 TradingAccount::activeMarketsIds
中的排序损坏
GlobalConfiguration::removeCollateralFromLiquidationPriority
破坏了抵押品优先级顺序,导致抵押品清算顺序不正确
攻击者可以通过将 ERC721Power::totalPower
和所有现有 NFT 的 currentPower
设置为 0 来摧毁用户的投票权
在法定人数分母中使用的静态 GovUserKeeper::_nftInfo.totalPowerInTokens
可能会错误地导致无法达到法定人数
DistributionProposal
“赞成”投票者的奖励被“反对”投票者稀释,并且丢失的奖励永久滞留在 DistributionProposal
合约中
可以通过 DM 联系 Dacian。
- 原文链接: dacian.me/smart-contract...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!