使用重入锁并不能解决所有问题,可以考虑使用checks-effects-interactions模式,另外,转账最好放在一个完整逻辑的最开始或者最结尾,避免状态不一致。
今天看了一下Venus项目的逻辑和代码,发现其存在一个较严重的漏洞,这个漏洞可能导致资金池被盗。 Venus的代码是fork自Compound的,经分析,此漏洞在Compound和Cream中也存在。
tx.origin攻击实现,一次调用,转干合约
qubit
一种基于区块链的泛用型数据隐私保护的安全多方计算协议
零时科技区块链安全情报平台监控到消息,北京时间2022年2月14日,Titano Finance遭到攻击,损失3200万TITANO代币,零时科技安全团队及时对此安全事件进行分析。
自“数据+业务”的双中台架构被提出以来, 中台间数据进行安全交互的效能显得尤为重要. 基于此, 本研究提出了一种高效的交互式协议, 在借助区块链双链结构保证数据安全可信的情况下, 改善了内生性数据在中台间交互效率低的问题. 对新协议中核心的门限签名技术进行实验模拟的结果表明新协议在链下签名、链上验签过程中比传统单一链上签名及验签的方法节省了42.1%的时间成本. 新协议对中台融合区块链技术、加快中台与区块链的广泛实践均具有积极推动作用.
据慢雾区情报,2022 年 1 月 28 日 The Sandbox 官方发布一则 LAND 智能合约迁移的公告,但是在公告中没有说明合约具体是出了什么问题,慢雾安全团队现将简要分析结果分享如下。
尝试爆破NFT奖励时间限制,合约再解析
尝试爆破NFT奖励时间限制,突破网页限制
“程序测试能证明错误的存在, 但不能证明错误不存在” – Edsger Dijkstra。智能合约是一个对安全性要求非常高的领域,一个不经意的小 bug 很可能会导致不可估量的损失。
约通常也处理以太,并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持,攻击者可以强制合约执行进一步的代码(通过一个回退函数),包括对自身的调用。
该方法也不一定是万能的,项目方需要结合自身的场景,合理运用该算法,达到良好的效果。
由于Alpha Finance的问题,导致了两个协议同时遭受了损失。
避免过度是授权,DeFi的安全仍重而道远。
权限过大,不得不防。
慢雾安全团队建议在逐渐趋于复杂的情况下,各DeFi项目在进行协议间交互时,需要做好协议之间的兼容性,避免因协议兼容问题导致的损失。
慢雾安全团队建议DApp 开发者在移植其他协议的代码时,需充分了解移植协议的架构,并充分考虑移植协议和自身项目的兼容性,并且需要通过专业安全审计机构的审计后才上线,防止资金损失情况的发生。
通过错误的元素获取了错误的收益。
本次攻击的核心在于cheapSwap函数中未进行K值检查,导致攻击者可以通过一次兑换过程中进行多次兑换操作以获得额外的代币。
扫一扫 - 使用登链小程序
39 篇文章,436 学分
68 篇文章,364 学分
25 篇文章,255 学分
109 篇文章,233 学分
12 篇文章,174 学分