攻击

2021年8月19日，Solend 受到黑客攻击，黑客试图通过操纵Solend协议的核心参数来窃取资金。Solend 团队迅速发现并阻止了这次操纵，没有用户资金因此损失。黑客通过创建一个新的Lending Market，并绕过管理员权限检查，恶意修改了USDC、SOL、ETH、BTC等资产的清算阈值、清算奖励和最低借款利率等参数，试图恶意清算用户账户以获取巨额利润。

2022年2月2日，Wormhole网络遭受攻击，攻击者利用签名验证漏洞在Solana上铸造了12万枚无抵押wETH，并将其中93,750枚转移到以太坊。Jump Crypto已为合约注资以确保所有wETH都有足额抵押。Wormhole网络已恢复运行，并悬赏1000万美元寻求有关追捕黑客或追回被盗资产的信息。

2023年4月3日，以太坊上的多个MEV机器人在16964664区块中遭到攻击，一名恶意验证者替换了8个交易，导致5个MEV机器人损失约2538万美元。攻击主要针对与Flashbots相关的MEV机器人。漏洞在于Flashbots的mev_boost_relay模块未正确处理错误，恶意验证者利用这一点修改区块内容并成功使其被主网接受，最终攻击者耗尽了MEV机器人的资金池。

Allbridge Core协议在4月初遭受攻击，损失约65万美元。通过与合作伙伴合作，大部分资金已追回并用于赔偿受影响用户。文章分析了导致攻击的流动性池问题，并介绍了修复方案，包括改进流动性计算、引入储备金和重新平衡机制、限制每条链一个资产池、自动和手动关闭机制等。此外，Allbridge Core将开源其EVM和Tron合约。

约通常也处理以太，并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持，攻击者可以强制合约执行进一步的代码(通过一个回退函数)，包括对自身的调用。

虽然 The DAO 攻击发生在2016年，但解除攻击的方案依然值得学习。

tx.origin攻击实现，一次调用，转干合约

文章讨论了区块链面临的主要威胁，包括政府攻击和社区内部的反对者，并比较了PoW和PoS共识机制的安全性和效率。

Quicksilver liquid staking protocol 在 onboard Cosmos Hub 时遭遇恶意攻击，攻击者利用 Cosmos Hub 中 IBC-go 版本的安全漏洞阻止了 Quicksilver 的 onboard。

Sharedstake的sgETH合约在2023年8月31日遭到攻击，攻击者通过不当的所有权检查获得了无限铸造sgETH的权限，从而提取了价值约105 ETH的资金。为避免进一步损失，Sharedstake已暂停相关功能并与社区和安全专家合作进行追踪和恢复。

Cyfrin发布了五月份的区块链安全和教育新闻，内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外，还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程，以及CodeHawks成功案例。最后，文章还讨论了高调黑客攻击和安全事件，并给出了行业新闻和建议。

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件，主要分析了不一致的Scaling问题，包括MBU Token由于Scaling不匹配导致攻击者获利200万美元，以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。

本文分析了多个利用智能合约标准（如ERC777、ERC20 Permit、ERC1155、EIP-2535等）漏洞进行攻击的案例，强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等，并建议采取多层次验证措施，如单元测试、模糊测试和模拟攻击，以降低漏洞风险。

sui 存钱罐涉及的管理权限adminCap 和upgradeCap ，其中upgradeCap 可能绕过adminCap限制