全部 以太坊 比特币 Solana 公链 Solidity合约 Web3应用 编程语言 安全 密码学 科普 其他

​零时科技 | DeFi平台Cream Finance攻击事件分析

2021年10⽉27⽇晚,DeFi借贷协议Cream Finance再次遭受⿊客闪电贷攻击,被盗取CreamLP代币和其他多种ERC-20代币,攻击者在两个⼩时内共计盗⾛价值1.15亿美元的资⾦。
黑客攻击 

Paradigm CTF - SWAP

^0.4编译器版本的bug
  • bixia1994
  • 发布于 2021-10-11
  • 阅读 ( 2580 )
  • ( 5 )

UUPSUpgradeable 漏洞分析

在UUPS中,其实现了EIP-1967. EIP-1967的目的是规定一个通用的存储插槽,用于在代理合约中的特定位置存放逻辑合约的地址。
samczsun 
  • bixia1994
  • 发布于 2021-09-28
  • 阅读 ( 5312 )
  • ( 19 )

Hack Replay - Time lock

最近在项目中要使用到Timelock和权限管理部分,故查阅了下Openzepplin的相关实现,意外发现Openzepplin在前两天刚刚给Timelock打补丁,原因是Timelock合约在今年8月份前的版本实现中存在一个严重的漏洞,允许任何执行者升级其权限成为admin,而执行恶意程序。
samczsun 
  • bixia1994
  • 发布于 2021-09-27
  • 阅读 ( 3535 )
  • ( 24 )

Paradigm CTF 2021 比赛环境

搭建 Paradigm CTF 2021 比赛环境,从入门到放弃~
区块链安全 
  • ripwu
  • 发布于 2021-09-03
  • 阅读 ( 4658 )
  • ( 16 )

Hack Replay - SupDuck

最近的NFT异常的火热,上一篇文章中分析了Samczsun提出的HashMasks这一NFT,对EIP721进行了简单的了解。但是在后续的沟通中,发现对于NFT,其意义远远超过了冰冷的EIP721. 同时也发现,自己对于NFT的理解是非常浅薄的。故借此文章将NFT的一些简单的玩法梳理一下。但仍遵循我们的Hack Replay的传统,找到合约漏洞,给出可执行的POC。
  • bixia1994
  • 发布于 2021-09-02
  • 阅读 ( 4344 )
  • ( 28 )

区块链安全100问 | 第九篇:做为区块链应用当红花旦的DeFi,到底是什么?

DeFi 通过区块链技术,实现去中心、去中介、去中间人,相比传统金融大幅度降低了中间环节的成本,也降低了各环节之间的信任成本。
零时科技 

Paradigm CTF - Yield Aggregator

本题目是比较经典的重进入,本文尝试用Samczsun提出的四步法来解答该题目。即找到外部调用,判断外部调用是否可以被利用,是否满足三种外部调用模式,尝试利用它。
samczsun 
  • bixia1994
  • 发布于 2021-08-25
  • 阅读 ( 2410 )
  • ( 17 )

区块链安全100问 | 第八篇:智能合约自动化审计介绍

区块链的智能合约发展至今,暴露出的问题不少,智能合约的正确性和安全性面临着巨大的问题;在海量的智能合约中,最好的一种设想就是通过自动化审计来降低人工审计的复杂度......
零时科技 

Hack Replay - 荷兰拍卖

Samczsun最近发的雄文篇之二,网上有很多翻译版本的。如果你只想简单读一下Samczsun的文章,建议直接去读翻译版的。如果你想看看他到底在文章里说了什么,这篇文章可以给你提供具体的分析思路以及可运行的源代码!
samczsun 
  • bixia1994
  • 发布于 2021-08-22
  • 阅读 ( 2620 )
  • ( 19 )

Hack Replay - Hashmask

很巧的是,在我写作这篇文章的时候,我注意到登链社区已经有人写了跟我一样的题材:给人惊吓的代码 可以对比参考者一起看看

samczsun 
  • bixia1994
  • 发布于 2021-08-21
  • 阅读 ( 3265 )
  • ( 18 )

区块链安全100问 | 第七篇:智能合约审计流程及审计内容

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。
区块链安全  零时科技 

Paradigm CTF - JOP

本题的核心思想跟之前做过的一道题目:Consensys CTF-02 栈溢出重定向利用的核心思想一致,即找到合约中的一个入口函数,通过该函数可以手动的构造一个栈。在手动构造的栈中,按照函数调用的顺序,将所需要的参数依次放入手动构造的栈里,然后依次调用所需的函数。最后找到一个出口,一般是一个jump Destination,结束调用。

samczsun 
  • bixia1994
  • 发布于 2021-08-15
  • 阅读 ( 2781 )
  • ( 10 )

Hack Replay - Fei Protocol

Fei protocol是一个稳定币项目,这篇文章主要是Fei Protocol在合约编写中的一个漏洞分析,由于该漏洞发现的早,并未部署在主网上,故没有造成任何损失。
samczsun 
  • bixia1994
  • 发布于 2021-08-14
  • 阅读 ( 2951 )
  • ( 13 )

零时科技 | 被盗6.1亿美金,Poly Network 被攻击复盘分析

in  区块链安全问题解析

跨链互操作协议 Poly Network 突遭黑客攻击,使用该协议的 O3 Swap 损失惨重,在以太坊、币安智能链、Polygon 三条网络上的资产几乎被洗劫一空......
黑客攻击  零时科技  安全审计 

Popsicle攻击事件复盘分析 | 零时科技

通过此次攻击事件来看,攻击者通过闪电贷资金,并通过SorbettoFragola合约未判断LP的归属问题,最终获得了大量代币......
黑客攻击  零时科技 

Paradigm CTF- BabyCrypto

前段时间跟行业内人士聊天的时候,聊到了一个有趣的话题,即以太坊中私钥,公钥和地址分别是什么关系?以及ECDSA是如何工作的?
samczsun  ECDSA 
  • bixia1994
  • 发布于 2021-08-05
  • 阅读 ( 4093 )
  • ( 10 )

区块链安全100问 | 第六篇:智能合约面临的安全风险

"智能合约”是区块链项目的重要部分,合约中如果有漏洞被作恶者利用,将导致资产被盗且往往无法收回,给用户造成巨大损失。

Paradigm CTF-Market

合约中储存与计算分离的思路有什么风险呢?
samczsun 
  • bixia1994
  • 发布于 2021-07-29
  • 阅读 ( 2653 )
  • ( 19 )

Paradigm CTF-回文子串

如何更好的节省Gas费用呢?本文提到了5种方法
samczsun 
  • bixia1994
  • 发布于 2021-07-23
  • 阅读 ( 2614 )
  • ( 10 )