通过此次攻击事件来看,攻击成功最重要的因素是Paraluni官方MasterChef合约中没有对Token地址做严格校验和对质押存款的方法未做重入限制,当然前提还是对Token未做严格校验,该风险就算加入了重入限制条件,攻击者依然可以通过Token可控对项目造成威胁......
2022 年 03 月 13 日,据慢雾区消息,Paraluni 存在严重漏洞遭攻击,黑客获利约 170 万美元,慢雾安全团队第一时间介入分析,并将结果分享如下:
在链上复现漏洞时,需要明确上链的类型及可相关联的钱包。之后通过领取测试币,部署合约,发起交易,从而实现链上智能合约的测试。
NFT交易平台安全风险频发--OpenSea & X2Y2安全事件分析
AscendEX黑客攻击事件资金流向分析
监守自盗?Titano.Finance被黑事件分析
Superfluid被黑事件分析
Wormhole被黑事件分析
QBridge被黑事件分析
虚假乌克兰代币空投欺诈事件分析
Crosswise 被黑事件分析
Sashimi Swap被黑事件分析
Uniswap V3流动性管理协议Visor Finance遭受攻击,总损失约为820万美元
Fantom链上收益协议Grim Finance遭遇闪电贷攻击
本文通过编写有漏洞的合约,来了解如何攻击并理解如何预防漏洞的发生。
破解一个游戏合约了解如何预防攻击 —— 不要再用this.balance了
this.balance
本文通过编写一个有漏洞的合约,分析如何攻击、预防并修复漏洞
使用重入锁并不能解决所有问题,可以考虑使用checks-effects-interactions模式,另外,转账最好放在一个完整逻辑的最开始或者最结尾,避免状态不一致。
今天看了一下Venus项目的逻辑和代码,发现其存在一个较严重的漏洞,这个漏洞可能导致资金池被盗。 Venus的代码是fork自Compound的,经分析,此漏洞在Compound和Cream中也存在。
扫一扫 - 使用登链小程序
59 篇文章,299 学分
35 篇文章,244 学分
108 篇文章,224 学分
21 篇文章,196 学分
9 篇文章,163 学分