分享百科

漏洞

crvUSD审计结果总结

本文讨论了Curve Finance的crvUSD稳定币在审计过程中发现的两处关键安全漏洞。首先是一个任意调用漏洞,它允许攻击者在未经授权的情况下从AMM中提取资金;其次是捐赠攻击,攻击者可以通过特定操作在不同价格范围内盗取用户资金。文中详细分析了这些漏洞的原理以及Curve团队如何进行了修复,并强调了进行外部审计的重要性。
crvUSD  安全审计  智能合约  漏洞  Curve Finance  攻击 

Multichain合约漏洞事后分析

Multichain于2022年1月10日意识到其流动性池合约和路由合约存在关键漏洞,影响了WETH、WBNB等八种代币。漏洞被修复后,仍有部分用户未撤销对受影响路由合约的授权,面临风险。Multichain发布公告敦促用户立即采取行动,并提出补偿计划,对已撤销授权并提交申请的用户100%赔偿损失。团队还向报告漏洞的安全公司Dedaub支付了高额漏洞赏金。
多链  漏洞  合约安全  权限撤销  漏洞赏金  跨链桥 

Wormhole事件报告 - 2022年2月2日

2022年2月2日,Wormhole网络遭受攻击,攻击者利用签名验证漏洞在Solana上铸造了12万枚无抵押wETH,并将其中93,750枚转移到以太坊。Jump Crypto已为合约注资以确保所有wETH都有足额抵押。Wormhole网络已恢复运行,并悬赏1000万美元寻求有关追捕黑客或追回被盗资产的信息。
Wormhole  跨链桥  漏洞  攻击  签名验证  Solana  以太坊 

MEV机器人遭遇攻击损失2500万美元:分析揭示

2023年4月3日,以太坊上的多个MEV机器人在16964664区块中遭到攻击,一名恶意验证者替换了8个交易,导致5个MEV机器人损失约2538万美元。攻击主要针对与Flashbots相关的MEV机器人。漏洞在于Flashbots的mev_boost_relay模块未正确处理错误,恶意验证者利用这一点修改区块内容并成功使其被主网接受,最终攻击者耗尽了MEV机器人的资金池。
MEV 机器人  Flashbots  以太坊  漏洞  攻击  三明治攻击 
  • zan.top
  • 发布于 2023-04-13
  • 阅读 ( 59 )

Wormhole 安全 - 治理者

本文档介绍了Governor的设计,旨在限制特定漏洞的影响,通过赋予 Guardians 延迟来自已注册Token Bridge的Wormhole消息的选项来实现,特别是当其总名义价值非常大时,给守护者24小时的时间来删除通过软件错误创建的消息,而不是准确地表示原始链的状态,从而防止了漏洞利用。
Wormhole  Governor  Token Bridge  漏洞  安全  Guardian 

解码AllBridge 57万美元闪电贷攻击

AllBridge在BNB链上遭遇闪电贷攻击,USDT和BUSD稳定币池被攻击,损失约57万美元。攻击原因是withdraw函数中的逻辑缺陷,允许攻击者操纵swap价格。攻击者通过闪电贷获得资金,操纵价格,耗尽池中资金,之后AllBridge团队暂停了桥,并向攻击者提供赏金以换取资金返还,最终攻击者归还部分资金并保留剩余部分作为白帽赏金。
闪电贷攻击  Allbridge  漏洞  DeFi  BNB 链  智能合约安全 

Allbridge Core重启后的更新

Allbridge Core协议在4月初遭受攻击,损失约65万美元。通过与合作伙伴合作,大部分资金已追回并用于赔偿受影响用户。文章分析了导致攻击的流动性池问题,并介绍了修复方案,包括改进流动性计算、引入储备金和重新平衡机制、限制每条链一个资产池、自动和手动关闭机制等。此外,Allbridge Core将开源其EVM和Tron合约。
Allbridge Core  漏洞  攻击  流动性池  vUSD  安全 

Solodit检查清单详解:系列前言

本文介绍了Solodit Checklist,一个帮助开发者构建安全智能合约的实用工具。作者强调了理解智能合约安全的重要性,并提供了通过该检查清单进行深入学习和实践的方法,以避免潜在漏洞和安全风险。
智能合约  安全性  Solidity  区块链  DeFi  漏洞 
  • cyfrin
  • 发布于 2025-04-08
  • 阅读 ( 386 )
  • ( 14 )

保障Grandine的性能

该项目旨在通过并行化和高效设计提高 Grandine 客户端的性能和简化性。项目将进行 Grandine 和 Lighthouse 的对比分析,建立基准性能指标,评估现有测试基础设施,集成性能监控到 CI/CD 管道,探索高级测试技术,并实施有希望的测试方法来发现和解决漏洞,提高 Grandine 的可靠性和效率,从而为以太坊网络的稳定性和性能做出贡献。
Grandine  Lighthouse  性能分析  测试  CI/CD  漏洞 

区块链安全常见的攻击分析——存储冲突漏洞(Storage Collision Vulnerability)【16】

@TOC1、存储冲突漏洞(StorageCollisionVulnerability)1.1漏洞分析代理合约(Proxy)和逻辑合约(Logic)都在相同的存储槽(槽

漏洞  区块链 
  • XUYU
  • 发布于 2025-02-18
  • 阅读 ( 2 )

Fei Protocol 闪电贷漏洞修复审查

白帽黑客Alexander Schlindwein发现了Fei协议中的一个严重漏洞,该漏洞若被利用,可能导致并且协议损失60000 ETH,因而被授予80万美元的奖励。Fei协议是一个去中心化的算法稳定币协议,其执行过程中可以利用闪电贷对市场进行操控。快速借贷攻击可能允许攻击者以低于真正市场价格的价格购买FEI。协议已经实施了多个修复措施,确保此类漏洞不会再发生。包括禁止通过债券曲线的ETH存款直接进入Uniswap池,以及设置滑点参数以防止市场操控。整个事件强调了针对闪电贷的防御机制及修复措施的必要性。
Fei Protocol  闪电贷  漏洞  白帽黑客  安全  修复 

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

我们正在使用遗留系统!

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件,揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。
Active Directory  NTDS.dit  漏洞  渗透  勒索软件  多因素认证 

智能合约全面审计准备 — 入门指南

本文主要介绍了智能合约审计的准备工作,包括选择审计机构、审计范围和定价、审计流程、整体方法、预定审计时间、代码准备、审计费用和包含内容,以及审计准备情况,强调了全面审计对于确保项目安全和成功的投资的重要性。
智能合约  审计  代码安全  漏洞  渗透测试  区块链安全 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 
登链社区