分享百科

漏洞

Solodit检查清单详解:系列前言

本文介绍了Solodit Checklist,一个帮助开发者构建安全智能合约的实用工具。作者强调了理解智能合约安全的重要性,并提供了通过该检查清单进行深入学习和实践的方法,以避免潜在漏洞和安全风险。
智能合约  安全性  Solidity  区块链  DeFi  漏洞 
  • Cyfrin
  • 发布于 2025-04-08
  • 阅读 ( 735 )
  • ( 16 )

Bulletproofs 中的“冰冻之心”漏洞

本文深入分析了 Bulletproofs 零知识证明系统中存在的 Frozen Heart 漏洞,该漏洞源于 Fiat-Shamir 转换的不安全实现,允许恶意用户伪造超出预定义范围的值的证明。文章详细解释了该漏洞的原理以及如何利用它来生成虚假证明,并讨论了该漏洞对依赖 Bulletproofs 的应用程序的潜在影响。
Bulletproofs  零知识证明  Fiat-Shamir转换  Frozen Heart  漏洞  Pedersen承诺 

解读Pike Finance漏洞

Pike Beta协议于2024年4月30日遭受攻击,损失了价值超过160万美元的99,970.48 ARB、64,126 OP和479.39 ETH。漏洞源于在升级合约以暂停协议时引入新依赖项,导致存储布局错位,攻击者能够绕过管理权限升级合约并提款。项目方已通过其X账号承认了此次事件。
Pike Finance  漏洞  以太坊  Arbitrum  Optimism  智能合约 

无需许可:Multichain漏洞利用解析

Multichain协议的用户遭到攻击,攻击者利用Multichain智能合约中的漏洞窃取了数百万美元的代币。文章深入分析了漏洞的技术细节,利用Tenderly调试器重放智能合约交易,揭示了攻击者如何通过构造恶意合约、绕过WETH合约的permit函数以及利用用户预先授权的无限额度来窃取资金。文章还总结了漏洞产生的多个因素,并提出了安全建议。
Multichain  漏洞  智能合约  Tenderly调试器  ERC20 permit函数  BaDapprove 

Damn Vulnerable DeFi V4 解决方案 —— #10. Free Rider

本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞,该漏洞存在于NFT市场的购买逻辑中,由于在支付卖家之前就将NFT转移给买家,导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金,购买所有NFT,然后将NFT转移到recoveryManager合约以获得赏金,最后偿还闪电贷。
智能合约  漏洞  NFT  闪电贷  重入攻击  以太坊 

UMA Across V2 审计 - OpenZeppelin 博客

OpenZeppelin 对 Across Protocol 的 contracts-v2 代码仓库进行了安全评估,发现了多个问题,包括客户端报告的 refunds 处理不当、slow fill 潜在的支付不足以及 recipient/message 功能失效等问题。
智能合约  安全审计  跨链桥  以太坊  漏洞  Optimistic Oracle  UMIP 

智能合约中的常见漏洞 – ImmuneBytes

本文探讨了智能合约中常见的漏洞,包括重入攻击、整数溢出和下溢、时间戳依赖、未检查的外部调用、未初始化的存储变量、拒绝服务(DoS)、访问控制问题、抢跑交易、Oracle 操纵和糟糕的随机性等,每个漏洞都附有实际案例、发生方式和缓解策略,强调了智能合约开发中安全审计、严格测试和持续学习的重要性。
智能合约  漏洞  重入攻击  拒绝服务  oracle  安全性 

智能合约生命周期和安全性概述 - ImmuneBytes

本文探讨了智能合约生命周期中的安全问题,并强调了“左移方法”的重要性,这种方法提倡在开发的早期阶段就集成安全措施,从而及早发现和解决漏洞,降低开发成本,提高代码质量,最终增强用户信任并促进区块链生态系统的可持续发展。
智能合约  安全  生命周期  左移方法  漏洞  区块链 

保障Grandine的性能

该项目旨在通过并行化和高效设计提高 Grandine 客户端的性能和简化性。项目将进行 Grandine 和 Lighthouse 的对比分析,建立基准性能指标,评估现有测试基础设施,集成性能监控到 CI/CD 管道,探索高级测试技术,并实施有希望的测试方法来发现和解决漏洞,提高 Grandine 的可靠性和效率,从而为以太坊网络的稳定性和性能做出贡献。
Grandine  Lighthouse  性能分析  测试  CI/CD  漏洞 

安全时光机:2025年5月至6月区块链黑客报告 – ImmuneBytes

本文分析了2025年5月至6月期间发生的多起区块链安全事件,包括Cetus Protocol、Alex Protocol、Cork Protocol和Mobius DAO等项目遭受的攻击,并探讨了ImmuneBytes如何通过其安全策略来预防这些漏洞,强调了安全审计和验证的重要性。
区块链安全  智能合约审计  漏洞  攻击  安全策略  形式化验证 

Fei Protocol 闪电贷漏洞修复审查

白帽黑客Alexander Schlindwein发现了Fei协议中的一个严重漏洞,该漏洞若被利用,可能导致并且协议损失60000 ETH,因而被授予80万美元的奖励。Fei协议是一个去中心化的算法稳定币协议,其执行过程中可以利用闪电贷对市场进行操控。快速借贷攻击可能允许攻击者以低于真正市场价格的价格购买FEI。协议已经实施了多个修复措施,确保此类漏洞不会再发生。包括禁止通过债券曲线的ETH存款直接进入Uniswap池,以及设置滑点参数以防止市场操控。整个事件强调了针对闪电贷的防御机制及修复措施的必要性。
Fei Protocol  闪电贷  漏洞  白帽黑客  安全  修复 

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

我们正在使用遗留系统!

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件,揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。
Active Directory  NTDS.dit  漏洞  渗透  勒索软件  多因素认证 

智能合约全面审计准备 — 入门指南

本文主要介绍了智能合约审计的准备工作,包括选择审计机构、审计范围和定价、审计流程、整体方法、预定审计时间、代码准备、审计费用和包含内容,以及审计准备情况,强调了全面审计对于确保项目安全和成功的投资的重要性。
智能合约  审计  代码安全  漏洞  渗透测试  区块链安全 

宣布“万亿美元安全计划”

以太坊基金会宣布启动“万亿美元安全计划”,旨在通过生态系统范围内的努力,提升以太坊的安全性,目标是让数十亿用户能够安全地在链上存储超过1000美元,并让公司、机构或政府能够在单个合约或应用中安全地存储超过1万亿美元的价值。该计划包括评估安全优势和攻击途径、实施改进措施以及加强安全沟通。
以太坊  安全  区块链  智能合约  安全审计  漏洞 
登链社区