2023 年 Web3 中最常见的 10 个漏洞： 输入验证不正确；计算错误；预言机/价格操纵； 弱访问控制； 重放攻击；舍入误差；重入攻击；抢跑；未初始化的代理；治理攻击。

合约中存在两个漏洞代码注入和逻辑错误，通过漏洞利用,可以达到转移任意用户的Carrot代币。利用过中还涉及一个未开源的pool合约。一句话总结漏洞利用过程：利用代码注入漏洞Carrot合约通过调用pool合约的方法成为pool合约的owner，利用逻辑漏洞绕过转账时的授权检查。

记一次隐蔽的恶意攻击事件追踪分析

北京时间2023年10月11日，BNBChain上的BH代币遭受攻击，攻击者获利约120万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析攻击者地址：0xfdbfceea1de36036408

北京时间6月28日，Themisprotocol遭受闪电贷攻击，攻击者已获利约37万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析攻击者地址：0xdb73eb484e7dea3785520d

8月18日，Exactlyprotocol遭遇黑客攻击，攻击者已获利约1204万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。一、事件分析攻击者地址：0x3747dbbcb5c07786a4c5988

UEarnPool 业务逻辑漏洞

北京时间2021年12月19日，Grim Finance官方发推文称平台被外部攻击者利用，攻击者盗币价值超过3000万美元

空手套白狼 —— Popsicle 被黑分析

DFX Finance重入漏洞