全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

XCarnival NFT 借贷协议漏洞分析

2022 年 06 月 27 日,据慢雾区消息,XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH(约 380 万美元)。XCarnival 是一个 ETH 链上的 NFT 借贷项目,目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。
安全技术研究  借贷  漏洞分析 

智能合约安全审计入门篇 —— delegatecall (2)

[上篇文章](https://learnblockchain.cn/article/4125)中我们了解了什么是 delegatecall 函数以及一个基础的漏洞,这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,拿下一个进阶版的漏洞合约。
安全技术研究  delegatecall  智能合约 

保护你的钱包!假钱包全景追踪

慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。今天我们从大数据侧分析,到底有多少假钱包。
安全技术研究  钱包 

WEB3 安全系列 || 攻击类型和经验教训

在Web3的世界中,我们更应该如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。
Web3  黑客攻击  安全审计  智能合约安全 

深冷存儲:如何更安全保管您的助記詞

本文介绍了深冷存储的概念,即离线保存数字货币资产并传承下去。文章列举了四种深冷存储的实践方案,包括纸张/金属存储、异地备份、Shamir秘密共享方案(SSSS)以及结合AES加密和SSSS的方案。最后,文章提出普通用户可以通过手动将助记词分成三片,每片包含16个单词的方式来有效使用SSSS方案,并分析了破解难度。
深冷存储  助记词  Shamir秘密共享方案  SSSS  AES加密  硬件钱包 

【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件

in  智能合约安全
6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。
区块链安全  链上分析 
  • SharkTeam
  • 发布于 2022-06-16
  • 阅读 ( 4249 )
  • ( 4 )

真实攻击案例分析系列之Fantasm Finance攻击事件分析

一句话对这个漏洞进行总结:合约中的漏洞是个典型的`逻辑漏洞`,漏洞主要在`Pool合约`中的`mint`方法中,在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM,而合约代码只对FSM进行了销毁,却`没有考虑FTM`的情况,导致即使用户不输入FTM,也能获得xFTM。
攻击  逻辑漏洞 
  • 小驹
  • 发布于 2022-06-16
  • 阅读 ( 3083 )
  • ( 6 )

dapp安全总结与典型安全事件

以太坊以及EVM的诞生使得 `Dapp`这种新的业务形态成为可能。总的来说,EVM实现了一个全局的状态机,为所有的 `Dapp`提供了统一的状态空间;实现了图灵完备,并抽象出了账户模型,账户之间可以相...
DApp  区块链安全 
  • jianghai
  • 发布于 2022-06-15
  • 阅读 ( 6467 )
  • ( 90 )

C.R.E.A.M Hack with Yearn

独乐乐,不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路,以及POC。
  • bixia1994
  • 发布于 2022-06-15
  • 阅读 ( 2847 )
  • ( 3 )

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
漏洞分析  MetaMask  钱包 

双向舍入:DeFi智能合约中的一种常见安全漏洞

本文讨论了DeFi智能合约中的一种常见安全漏洞——双向舍入,解释了该漏洞如何导致交易者通过回合交易获利,介绍了避免这一漏洞的代码修复方法,并展示了sec3 Pro如何自动检测这类漏洞。通过实例分析,提供了对此问题的深刻见解和解决方案。
双向舍入  DeFi  智能合约  安全漏洞  sec3 Pro  代码审计 
  • Sec3dev
  • 发布于 2022-06-14
  • 阅读 ( 475 )

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

本系列文章从web3安全出发,持续跟进web3安全动态。本文是攻击者通过Discord软件,对用户进行钓鱼,诈骗等行为,点击原文查看具体攻击手法。
Web3  钓鱼攻击  资产安全  安全审计 

WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?

本系列文章从web3安全出发,持续跟进web3安全动态,本文是盗取数字资产的方式,看看你是否中招?
钓鱼攻击  安全审计 

2000 万 OP 代币被盗关键:交易重放

6 月 9 日,Optimism 与 Wintermute 双双发布公告,向社区披露了一起 2000 万 OP 代币丢失的事件。
安全技术研究 

交易重放+管理漏洞—2000万枚OP被盗事件分析

in  区块链安全问题解析
2022年6月9日消息,据Optimism与加密货币做市商 Wintermute 透露,2000万个Optimism代币被黑客盗取。
漏洞分析  区块链安全 
  • SharkTeam
  • 发布于 2022-06-10
  • 阅读 ( 4058 )
  • ( 15 )

合约安全之-变量隐藏安全问题分析

在计算机编程中,当在特定范围(代码块、方法或内部类)中声明的[变量](https://learnblockchain.cn/article/3398)与在外部范围中声明的变量具有相同的名称时,就会发生变量隐藏。变量隐藏在多种计算机语言中都存在,并不仅仅是Solidity语言独有的特性。
智能合约安全 
  • 小驹
  • 发布于 2022-06-09
  • 阅读 ( 2718 )
  • ( 9 )

给 Web3 项目的智能合约安全指南

本文概述了 [Web3 开发](https://learnblockchain.cn/article/4067)人员和安全团队在设计、开发并维护智能合约时必须考虑的安全要素,覆盖了从威胁建模到应急响应准备的整个周期。
Web3  智能合约安全  指南 

合约私有数据泄漏的安全问题分析及演示

所有存储在区块链上都是公开可见的,包括合约的私有状态变量!所以不要在区块链上存储密码和私钥,而且对于确实需要存储的敏感数据尽量使用hash比对的存储密文hash。通过本文可以理解合约[数据的存储](https://learnblockchain.cn/2019/10/05/evm-data),并学会访问合约的状态变量数据。
智能合约安全  存储布局 
  • 小驹
  • 发布于 2022-06-09
  • 阅读 ( 5140 )
  • ( 28 )

Web3开发智能合约安全检查清单

本文概述了Web3构建者、开发人员和安全团队在设计、开发和维护安全智能合约系统时必须考虑的核心安全基本原则。文章提出了一个框架,讨论了贯穿软件开发生命周期的八个核心安全考量类别,从威胁建模到应急响应准备,强调安全应该是成功开发的组成部分,而不是事后才考虑的附加组件。
智能合约安全  威胁建模  访问控制  安全审计  实时监控  应急响应 

零时科技 | Discover 闪电贷攻击事件分析

此次攻击事件主要通过[闪电贷](https://learnblockchain.cn/article/1928)资金控制价格,导致兑换数量波动,对于此类安全事件,建议不要使用外部可控的资金数量来获取价格......
闪电贷攻击  安全审计  区块链安全  黑客攻击