全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

智能合约安全 - 常见漏洞(第四篇)

智能合约安全 - 常见漏洞(第四篇)
区块链安全  漏洞分析  智能合约 

智能合约安全 - 常见漏洞(第三篇)

智能合约安全 - 常见漏洞(第三篇)
区块链安全  漏洞分析  智能合约 

利用Chainlink的区块链上的数字身份

本文探讨了传统数字身份(D-ID)系统的缺陷,包括数据货币化、数据访问和数据安全等方面的问题。文章介绍了基于区块链的D-ID解决方案,例如DECO、Bloom、Unstoppable Domains和Decentr,它们利用区块链技术和Chainlink预言机来解决传统D-ID的问题,从而改善用户的数据隐私、安全和控制权,并为Web3平台带来新的用例。
数字身份  区块链  Chainlink预言机  DECO  Bloom  去中心化身份 

可信发布:打包安全的新基准

本文介绍了PyPI(Python Package Index)上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建,无需长期存在的APIToken和密码,降低了供应链攻击和凭据泄露的风险,简化了发布工作流程,允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。
PyPI  可信发布  OpenID Connect  OIDC  供应链安全  身份验证 

智能合约安全 - 常见漏洞(第一篇)

这个智能合约安全系列将归纳总结 Solidity 智能合约开发过程中容易反复出现的问题和漏洞。
Solidity  漏洞分析  智能合约 

SharkTeam:Tornado.Cash提案攻击原理分析

in  智能合约安全
Tornado.Cash提案攻击原理分析
Tornado.cash  CREATE2 

解码AllBridge 57万美元闪电贷攻击

AllBridge在BNB链上遭遇闪电贷攻击,USDT和BUSD稳定币池被攻击,损失约57万美元。攻击原因是withdraw函数中的逻辑缺陷,允许攻击者操纵swap价格。攻击者通过闪电贷获得资金,操纵价格,耗尽池中资金,之后AllBridge团队暂停了桥,并向攻击者提供赏金以换取资金返还,最终攻击者归还部分资金并保留剩余部分作为白帽赏金。
闪电贷攻击  Allbridge  漏洞  DeFi  BNB 链  智能合约安全 

臭名昭著的 B.U.G. 👑 文摘

本文是 OpenZeppelin 团队对2023年第一季度加密安全领域发生的多起重大漏洞和黑客事件的回顾与分析。
漏洞  智能合约  安全审计  MEV  以太坊  区块链安全 

多合约重入锁

文章介绍了多合约重入锁的设计与实现,通过全局重入锁和可重用的修饰器来防止多合约间的重入攻击,确保系统状态改变时的安全性。文章还提供了代码示例和测试方法,帮助开发者理解和应用这一技术。
重入锁  智能合约  全局锁  多合约  重入攻击  DeFi 

DEI漏洞复现

1.漏洞简介https://twitter.com/eugenioclrc/status/16545762965070889062.相关地址或交易https://explorer.phalcon.xyz/tx/arbitrum/0xb1141785b7b94eb37c39c37f0272
逻辑漏洞  漏洞分析  区块链安全 
  • Archime
  • 发布于 2023-05-08
  • 阅读 ( 4842 )
  • ( 2 )

NeverFall 漏洞复现

1.漏洞简介https://twitter.com/BeosinAlert/status/16536197823176622112.相关地址或交易https://explorer.phalcon.xyz/tx/bsc/0xccf513fa8a8ed762487a0dcfa54aa65c7
闪电贷攻击  漏洞分析  区块链安全 
  • Archime
  • 发布于 2023-05-06
  • 阅读 ( 5300 )
  • ( 3 )

逻辑漏洞:DEUS被攻击事件分析

in  智能合约安全
北京时间2023年5月6日,DEUS的稳定币DEI合约存在burn逻辑漏洞,攻击者已获利约630万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一****、事件分析****攻击者地址:0x08e80ecb
  • SharkTeam
  • 发布于 2023-05-06
  • 阅读 ( 3673 )
  • ( 4 )

安全分析工具 MetaDock

在研究区块链工具时,我们了解到一款好用的安全分析工具MetaDock。它通过非常简洁的方式帮助我们分析资金流向并提供了适当的风险提示。
数据分析  工具 
  • ChainTool
  • 发布于 2023-04-28
  • 阅读 ( 4879 )
  • ( 22 )

Safe智能账户与钻石代理

本文讨论了Safe智能合约架构中,是否应该使用Diamond Proxy模式。
智能合约  账户抽象  安全  Diamond Proxy  模块化  Safe 
  • safe__
  • 发布于 2023-04-26
  • 阅读 ( 882 )

2.8万美元赏金 - 管理员权限破坏与强制恢复

本文分析了 Alchemist 项目 TimelockConfig 合约中confirmChange函数缺少访问控制和未检查状态转换的漏洞,攻击者可以通过调用该函数将关键配置设置为0,从而阻止$MIST通货膨胀的分配。作者提供了漏洞的发现、验证、修复和披露的时间线,并为开发者和审计人员提供了关于安全开发的经验教训。
Solidity  智能合约  漏洞  访问控制  状态转换  TimelockConfig 
  • Dacian
  • 发布于 2023-04-20
  • 阅读 ( 503 )

黑客分析:Platypus Finance,2023年2月

2023年2月16日,Platypus Finance协议遭受黑客攻击,损失约850万美元的稳定币抵押品,原因是其稳定币USP的偿付能力检查机制存在逻辑错误。攻击者能够利用该漏洞,借助闪电贷抵押品进行借款,然后在未偿还债务的情况下提取抵押品。本文深入分析了Platypus Finance合约中的漏洞,并创建了漏洞利用PoC,强调了适当验证的重要性,尤其是在打破正常流程的特殊函数方面。
Platypus Finance  漏洞  智能合约  以太坊  DeFi  攻击 

Solend 协议:黑客试图通过操纵核心参数窃取约 200 万美元

2021年8月19日,Solend 受到黑客攻击,黑客试图通过操纵Solend协议的核心参数来窃取资金。Solend 团队迅速发现并阻止了这次操纵,没有用户资金因此损失。黑客通过创建一个新的Lending Market,并绕过管理员权限检查,恶意修改了USDC、SOL、ETH、BTC等资产的清算阈值、清算奖励和最低借款利率等参数,试图恶意清算用户账户以获取巨额利润。
Solend  漏洞  攻击  清算  DeFi  区块链安全 
  • prastut
  • 发布于 2023-04-18
  • 阅读 ( 642 )

想要高质量的代码吗?学习如何使用差分模糊测试!

本文介绍了差分模糊测试(Differential Fuzzing)的概念、使用场景和结构。差分模糊测试通过生成大量随机输入,比较同一算法的不同实现,以发现逻辑错误。文章还提供了一个使用Rust的libfuzzer工具的差分模糊测试示例,并讨论了如何处理不同实现间输入输出格式的差异,以确保测试的有效性。
差分模糊测试  模糊测试  fuzzing  测试技术  安全测试  libfuzzer 

构建一个智能合约模糊测试工具,既有趣又有利可图

本文介绍了作者如何构建一个基于属性测试的工具 fuzzing-like-smarter-degen,用于检测智能合约中的漏洞。文章详细讨论了传统的单元测试的局限性,并介绍了模糊测试(fuzzing)的原理及其在智能合约安全检测中的应用。作者还介绍了如何通过假设库(Hypothesis)实现模糊测试,并展示了该工具的运行效果。
模糊测试  智能合约  漏洞检测  属性测试  Hypothesis  以太坊 
  • jat9292
  • 发布于 2023-04-15
  • 阅读 ( 1646 )

MEV机器人遭遇攻击损失2500万美元:分析揭示

2023年4月3日,以太坊上的多个MEV机器人在16964664区块中遭到攻击,一名恶意验证者替换了8个交易,导致5个MEV机器人损失约2538万美元。攻击主要针对与Flashbots相关的MEV机器人。漏洞在于Flashbots的`mev_boost_relay`模块未正确处理错误,恶意验证者利用这一点修改区块内容并成功使其被主网接受,最终攻击者耗尽了MEV机器人的资金池。
MEV 机器人  Flashbots  以太坊  漏洞  攻击  三明治攻击 
  • zan.top
  • 发布于 2023-04-13
  • 阅读 ( 1233 )