7 月 17 日，据慢雾区情报反馈，Premint 遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本期我们将带大家了解智能合约中一个经常被用到的东西——随机数。

此次黑客利用未授权的函数，扰乱了正常的Godzilla币与USDT的流动池，最终攻击大约套利了2.6万的USDT。

本文将重点分析和复现xSurge的攻击过程。该漏洞利用的代码是重入漏洞的典型代码，但利用过程却不是重入。应该是”最像重入漏洞的套利漏洞”。价格计算机制既然可以从数学上证明存在漏洞，能不能用数学的方法来挖掘此类的漏洞？

2022年7月12日早6时，币安交易平台CEO赵长鹏发推表示，通过威胁情报在 ETH 区块链上检测到 Uniswap V3 潜在漏洞，到目前为止，黑客已经窃取了 4295 ETH。并给出了黑客转移资金的相关地址。

2022 年 7 月 10 号，一个火热的 NFT 项目 TheSaudis 开启了 freemint 活动（白名单用户可以免费铸造其 NFT）。

在合约代码中，最常用的是使用msg.sender来检查授权，但有时由于有些程序员不熟悉tx.origin和msg.sender的区别，如果使用了tx.origin可能导致合约的安全问题。黑客最典型的攻击场景是利用tx.origin的代码问题常与钓鱼攻击相结合的组合拳的方式进行攻击。

攻击者主要通过多次质押借贷和取出NFT获取大量和自己地址对应订单id,随后通过多次调用借款方法取出大量资金......

2022 年 06 月 27 日，据慢雾区消息，XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH（约 380 万美元）。XCarnival 是一个 ETH 链上的 NFT 借贷项目，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。

慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾：假钱包 App 已致上万人被盗，损失高达十三亿美元，可想而知，随着时间流逝，直到今天的被盗损失会是多么令人惊讶。今天我们从大数据侧分析，到底有多少假钱包。

在Web3的世界中，我们更应该如何从技术上进行规划，解决系统性的弱点，预防并组织新的攻击载体，这些攻击载体的目标，包括加密原生的问题和智能合约的漏洞等等。

6月7日开始，以Celsius被曝损失 3.5 万枚 ETH开始，ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中，而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。

一句话对这个漏洞进行总结：合约中的漏洞是个典型的逻辑漏洞，漏洞主要在Pool合约中的mint方法中，在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM，而合约代码只对FSM进行了销毁，却没有考虑FTM的情况，导致即使用户不输入FTM，也能获得xFTM。

以太坊以及EVM的诞生使得 Dapp这种新的业务形态成为可能。总的来说，EVM实现了一个全局的状态机，为所有的 Dapp提供了统一的状态空间；实现了图灵完备，并抽象出了账户模型，账户之间可以相...

独乐乐，不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路，以及POC。

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

本系列文章从web3安全出发，持续跟进web3安全动态。本文是攻击者通过Discord软件，对用户进行钓鱼，诈骗等行为，点击原文查看具体攻击手法。

本系列文章从web3安全出发，持续跟进web3安全动态，本文是盗取数字资产的方式，看看你是否中招？

6 月 9 日，Optimism 与 Wintermute 双双发布公告，向社区披露了一起 2000 万 OP 代币丢失的事件。