攻击

本文介绍了SushiSwap的Trident协议在开发过程中发现的一个漏洞，以及修复这一漏洞的方法。文章详细描述了如何通过确定系统的不变性、使用自动化验证工具查找具体的违规场景，并利用这一场景实施攻击。最终，SushiSwap通过调整计算用户应得代币的方式来修复该漏洞。

本文介绍了SushiSwap即将推出的Trident平台中的一个池排空漏洞及其修复过程。通过三个步骤，文章详细阐述了如何通过形式化验证技术发现此漏洞，并详细描述了恶意用户如何利用该漏洞进行攻击，最后介绍了SushiSwap所采取的修复措施。

本文全面回顾了Solana自诞生以来经历的多次重大安全事件，从Grape IDO网络拥堵到Wormhole跨链桥漏洞，再到Mango Markets的价格操纵事件，以及最近的Aurory闪电贷攻击。

2023年2月16日，Platypus Finance协议遭受黑客攻击，损失约850万美元的稳定币抵押品，原因是其稳定币USP的偿付能力检查机制存在逻辑错误。攻击者能够利用该漏洞，借助闪电贷抵押品进行借款，然后在未偿还债务的情况下提取抵押品。本文深入分析了Platypus Finance合约中的漏洞，并创建了漏洞利用PoC，强调了适当验证的重要性，尤其是在打破正常流程的特殊函数方面。

本文深入探讨了以太坊虚拟机（EVM）的 CREATE 和 CREATE2 操作码，分析了它们在智能合约创建中的不同特性和潜在安全隐患。作者通过具体示例展示了这些操作码在实际应用中的攻击场景，并提出了相应的安全建议，使读者对智能合约开发及安全性有了更深刻的理解。

如何应对区块的堵塞攻击？

本文详细分析了2020年至2025年4月Solana生态系统中发生的主要安全事件，包括应用层漏洞、供应链攻击和核心协议问题。

该文章详细分析了Cashio协议遭受攻击的原因，并探讨了其智能合约中的漏洞及其如何被Soteria检测到。攻击者利用了缺失的银行账户检查，伪造多个输入账户来成功铸造了200万CASH代币。文章还阐述了如何修复这些漏洞，并强调了Soteria的自动审计工具在检测虚假账户方面的有效性。

本文全面回顾了2020年至2025年第一季度 Solana 的安全事件，详细分析了事件的根本原因、影响、应对措施和补救措施。文章将安全事件分为应用漏洞、供应链攻击、网络层攻击和核心协议漏洞四类，并统计了各类事件的频率和造成的经济损失。最后总结了 Solana 在安全响应方面的演进，包括更快的响应时间、更有效的修复策略以及生态系统层面的改进。

bZx平台在短时间内遭遇两次攻击，攻击者通过利用价格预言机的漏洞和操作错误，成功获得了近100万美元的利润。文章详细分析了每次攻击的步骤、引发攻击的原因，以及如何通过使用去中心化预言机来解决预言机问题，以增强DeFi应用程序的安全性。

本文深入探讨了在引入数据可用性采样（DAS）后，分叉选择与数据可用性层之间的交互，旨在缓解潜在的攻击。文章首先识别了当前分叉选择规范下的潜在攻击，并提出了应对策略。此外，还讨论了紧密分叉选择、尾随分叉选择以及相关的攻击，并提出了(block, slot)分叉选择以及多数分叉选择来解决这些问题。

本文探讨了区块链跨链互操作性的复杂性，并提出了一种将跨链协议分层的框架，以便评估不同架构的安全性。文章详细介绍了基础层、认证层、传输层和接口层的功能，强调了跨链安全原则的重要性，并指出了与单链安全相比的独特挑战。此外，作者预告将在后续部分比较不同的跨链安全模型。

一句话对这个漏洞进行总结：合约中的漏洞是个典型的逻辑漏洞，漏洞主要在Pool合约中的mint方法中，在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM，而合约代码只对FSM进行了销毁，却没有考虑FTM的情况，导致即使用户不输入FTM，也能获得xFTM。

Zora的NFT空投系统中的一个漏洞允许攻击者通过利用薄弱的声明检查来窃取代币。攻击者利用0x Settler合约的basicSellToPool功能，使得ZoraTokenCommunityClaim合约将0x的ZORA代币分配转移到了攻击者的地址。这次攻击暴露了智能合约设计中安全性的重要性，并强调了严格的访问控制的必要性。

本文讨论了Curve Finance的crvUSD稳定币在审计过程中发现的两处关键安全漏洞。首先是一个任意调用漏洞，它允许攻击者在未经授权的情况下从AMM中提取资金；其次是捐赠攻击，攻击者可以通过特定操作在不同价格范围内盗取用户资金。文中详细分析了这些漏洞的原理以及Curve团队如何进行了修复，并强调了进行外部审计的重要性。