漏洞

2024年4月19日，Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程，包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险，最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。

本文总结了2023年7月发生的四起DeFi安全事件，Palmswap由于价格操纵损失90万美元，LibertiVault由于重入攻击损失45万美元，Bamboo AI由于价格操纵损失5.3万美元，Biswap由于访问控制漏洞损失86.5万美元。这些事件提醒人们，DeFi项目中信任假设和缺失的安全措施会导致重大损失。

本文总结了近期DeFi领域发生的多起安全事件，包括El Dorado Exchange的价格预言机操纵漏洞、Jimbos Protocol的滑点控制不足问题、CS Token的闪电贷操纵价格漏洞、Local Traders的权限检查缺失漏洞以及Sell Token的输入验证不当漏洞。这些事件暴露出DeFi系统在面临攻击时的脆弱性，强调了输入验证、权限控制和对抗性环境设计的重要性。

本文对Substrate平台上的审计过程进行深入探讨，分析了常见漏洞和提供的工具，以加固区块链项目的安全性。作者还对Acala平行链的流动质押模块进行了系统分析，指出了一些建议和注意事项，对开发人员在进行审计时具有重要参考价值。

2024年1月8日，CvxRewardDistributor合约出现了一处漏洞，导致黑客铸造并出售了5800万CVG代币，约价值21万美元。

本文讨论了Kusama网络中Karura链发生的一次安全事件，攻击者利用了XCM协议的配置错误和旧版代码的漏洞，导致Karura链上的KSM代币被盗。文中详细描述了事件的经过、措施以及从中汲取的教训，强调了在引入未审计代码时进行仔细验证的重要性，以及如何通过引入更加严格的代码审查和应对机制来增强系统安全性。

Cyfrin发布了五月份的区块链安全和教育新闻，内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外，还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程，以及CodeHawks成功案例。最后，文章还讨论了高调黑客攻击和安全事件，并给出了行业新闻和建议。

本文分析了Cronos区块链Ethermint客户端中的一个漏洞，该漏洞允许攻击者通过构造特定的交易，在不支付交易费用的情况下获得“gas退款”，甚至窃取区块中的交易费用。白帽zb3发现了此漏洞并及时报告，Cronos团队迅速修复并奖励了zb3。文章详细解释了漏洞的原理，以及Cronos团队是如何修复这个漏洞的。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。

本文分析了Damn Vulnerable DeFi V4挑战中的Truster漏洞。该漏洞存在于flashLoan()函数中，允许通过target.functionCall(data)执行任意函数调用，攻击者可以利用此漏洞，无需借款即可通过调用approve()函数获得授权，转移pool中的所有tokens到攻击者地址，最终成功攻击。

本文详细介绍了2017年发生的Parity钱包黑客事件，包括事件的背景、时间线、导致漏洞的根本原因、影响以及Parity Technologies采取的应对措施。文章强调了智能合约开发和代码审计的重要性，并提醒区块链社区加强安全措施。

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件，主要分析了不一致的Scaling问题，包括MBU Token由于Scaling不匹配导致攻击者获利200万美元，以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。

本文详细介绍了Fuel协议在Immunefi平台上举办的Attackathon活动中发现的五个关键漏洞，包括漏洞的严重性、影响、资产及修复情况。

本文分析了多个利用智能合约标准（如ERC777、ERC20 Permit、ERC1155、EIP-2535等）漏洞进行攻击的案例，强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等，并建议采取多层次验证措施，如单元测试、模糊测试和模拟攻击，以降低漏洞风险。