漏洞分析

HopeLend是一个去中心化的虚拟货币借贷平台，能够在无需双方单独撮合的情况下，根据资金池状态实现即时贷款。

本文总结出了 Profanity 的漏洞成因，是由于未对 256 位私钥进行足够随机播种，导致私钥取值范围严重降低。同时也分析了对这类随机性问题的破解可能性，希望能给大家一些启发。

典型的重入漏洞，分析重入漏洞两板斧：1. 找循环 ，2. 找代币变化。

此次黑客利用未授权的函数，扰乱了正常的Godzilla币与USDT的流动池，最终攻击大约套利了2.6万的USDT。

智能合约语法层面漏洞详解

2022年6月9日消息，据Optimism与加密货币做市商 Wintermute 透露，2000万个Optimism代币被黑客盗取。

2022 年 06 月 27 日，据慢雾区消息，XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH（约 380 万美元）。XCarnival 是一个 ETH 链上的 NFT 借贷项目，目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。

今日(2019-11-27) 12:06分，成都链安态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所热钱包地址向未知地址通过一笔交易转移超过34万ETH。

本文分析了2022年8月Nomad Bridge的黑客攻击事件，该事件导致190万美元的资金被盗。文章详细探讨了攻击所利用的智能合约漏洞以及攻击的过程，包括如何构造恶意消息以实现资金转移的技术方法。

据 Jet Protocol 官方博客披露，他们近期修复了一个赏金漏洞，这个漏洞会导致恶意用户可以提取任意用户的存款资金，慢雾安全团队对此漏洞进行了简要分析，并将分析结果分享如下。

据慢雾区情报，2022 年 1 月 28 日 The Sandbox 官方发布一则 LAND 智能合约迁移的公告，但是在公告中没有说明合约具体是出了什么问题，慢雾安全团队现将简要分析结果分享如下。

合约中存在两个漏洞代码注入和逻辑错误，通过漏洞利用,可以达到转移任意用户的Carrot代币。利用过中还涉及一个未开源的pool合约。一句话总结漏洞利用过程：利用代码注入漏洞Carrot合约通过调用pool合约的方法成为pool合约的owner，利用逻辑漏洞绕过转账时的授权检查。

据慢雾安全团队情报，2023 年 11 月 23 日，去中心化交易平台 KyberSwap 遭到攻击，攻击者获利约 5470 万美元。

2022 年 10 月 27 日，据慢雾安全团队情报，Victor the Fortune (VTF) 代币和 V8 protocol (V8) 代币均存在严重漏洞遭到攻击，攻击者分别获利约 5.8 万美元和 5.3 万美元。