全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

SharkTeam:Atlantis提案攻击原理分析

in  智能合约安全
北京时间2023年6月10日,Atlantis遭受提案攻击,损失近100万美元,攻击者已获利约11万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一****、事件分析****攻击者地址:0xeade071f
  • SharkTeam
  • 发布于 2023-06-13
  • 阅读 ( 2513 )
  • ( 3 )

Cellfram攻击事件分析及POC

Cellfram流动性迁移合约存在漏洞被闪电贷攻击。
安全事件分析  漏洞分析 
  • Drac
  • 发布于 2023-06-10
  • 阅读 ( 2833 )
  • ( 8 )

链安全 Sui主网上线满月,链上持币者数据分析

in  智能合约安全
5月3日,Sui主网正式上线,Sui的融资金额超3亿美元,估值为20亿美元。Sui没有空投,而是选择IEO/IDO,SharkTeam基于链上安全分析平台ChainAegis数据,对这一个月中Sui的IEO/IDO、交易量、持币者做了一个系统的分析,具体如下。一、IEO/IDO分析4月15日,O
  • SharkTeam
  • 发布于 2023-06-10
  • 阅读 ( 2771 )
  • ( 6 )

SharkTeam:Atomic Wallet攻击原理和洗钱模式分析

in  智能合约安全
6月3日,加密钱包AtomicWallet遭攻击,大量用户资产被盗,部分用户损失超过百万美元,影响范围极大。SharkTeam对本次攻击的攻击原理和黑客的洗钱模式进行分析。一、攻击原理分析SharkTeam对AtomicWallet进行了App和服务器API的封闭黑盒测试。测试过程概述如下:
  • SharkTeam
  • 发布于 2023-06-08
  • 阅读 ( 2699 )
  • ( 3 )

Aptos Move合约中最常见的10种Bug

zellic 整理在审计过程把不断地看到Bug ,方便我们审视自己的Move合约。
Aptos  Move  智能合约 

Ethernaut 题库闯关 #25 - Motorbike

in  Ethernaut 题库闯关 - 精进 Solidity
Ethernaut 题库闯关 #25 - Motorbike
Ethernaut 

通过Gitcoin数据实现去中心化的抗女巫攻击

通过Gitcoin数据实现去中心化的抗女巫攻击
女巫攻击 
  • 古千峰
  • 发布于 2023-06-04
  • 阅读 ( 2263 )
  • ( 3 )

解析 Tornado 治理攻击 - 如何同一个地址上部署不同的合约

Tornado 治理攻击的关键是在提案通过后,在被执行的提案地址被销毁了 之后部署了一个攻击合约。
DeCert  治理攻击  CREATE  create3 
  • DeCert.me
  • 发布于 2023-06-02
  • 阅读 ( 4125 )
  • ( 80 )

著名的区块链漏洞:双花攻击

介绍区块链漏洞双花攻击的原理,类型,预防和例子等
区块链安全  双花攻击  漏洞分析 

CosmWasm allocate 栈溢出

本文揭示了CosmWasm运行时的一个栈溢出漏洞,该漏洞源于`write_to_contract`函数在分配内存时会回调WASM合约的`allocate`函数,恶意合约可利用此机制进行递归调用,最终导致栈溢出。文章提供了PoC、修复建议以及事件时间线。
CosmWasm  栈溢出  漏洞  智能合约  安全  WASM 

ZK程序的可编程性增加了一个全新的担忧层面 - ZK安全性

本文探讨了零知识(ZK)程序开发中面临的各种安全挑战,包括程序逻辑错误、前端和后端的编译问题、证明系统的漏洞、可信设置的风险以及应用层面的隐私问题。强调开发者应尽早考虑安全性,并采取相应的缓解措施。
零知识证明  ZK程序  安全漏洞  密码学  智能合约  隐私保护 

Allbridge Core重启后的更新

Allbridge Core协议在4月初遭受攻击,损失约65万美元。通过与合作伙伴合作,大部分资金已追回并用于赔偿受影响用户。文章分析了导致攻击的流动性池问题,并介绍了修复方案,包括改进流动性计算、引入储备金和重新平衡机制、限制每条链一个资产池、自动和手动关闭机制等。此外,Allbridge Core将开源其EVM和Tron合约。
Allbridge Core  漏洞  攻击  流动性池  vUSD  安全 

零时科技 || 白帽行为?Arbitrum链上EDE Finance 攻击事件分析

本次攻击是由于项目新增合约时未进行安全审计,新增合约破坏原有合约权限认证机制,配合Updater 签名重放问题,从而导致这两个利用点被组合利用。
安全审计  零时科技  黑客攻击 

NFT市场漏洞与安全考量:创建一个具有完整…的NFT市场

文章探讨了NFT市场的漏洞和安全问题,包括智能合约漏洞、市场安全风险、网络安全问题、认证过程和法律问题等。同时,文章还提供了保护NFT的措施,如进行智能合约审计、拥抱去中心化原则、加强钱包安全性、验证NFT的真实性,并提出在2023年创建一个具有完整安全措施的NFT市场的建议。
NFT  NFT市场  智能合约  安全漏洞  网络安全  欺诈 

零时科技 || Arbitrum链上Jimbos Protocol项目受到黑客攻击,攻击者获利约 776 万美元

此次攻击是由于代币价格存在滑点,并且合约中在更新交易池函数中没有用户权限并且没有对于价格滑点进行判断,导致攻击者能够恶意操纵代币价格,并且将合约中ETH也转入交易池后通过代币兑换获利。

SharkTeam:Jimbos protocol闪电贷攻击原理分析

in  智能合约安全
北京时间2023年5月28日,Jimbosprotocol遭受闪电贷攻击,攻击者已获利约750万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0x102be4bccc2696c35
  • SharkTeam
  • 发布于 2023-05-29
  • 阅读 ( 2866 )
  • ( 4 )

智能合约安全 - 常见漏洞(第四篇)

智能合约安全 - 常见漏洞(第四篇)
区块链安全  漏洞分析  智能合约 

智能合约安全 - 常见漏洞(第三篇)

智能合约安全 - 常见漏洞(第三篇)
区块链安全  漏洞分析  智能合约 

利用Chainlink的区块链上的数字身份

本文探讨了传统数字身份(D-ID)系统的缺陷,包括数据货币化、数据访问和数据安全等方面的问题。文章介绍了基于区块链的D-ID解决方案,例如DECO、Bloom、Unstoppable Domains和Decentr,它们利用区块链技术和Chainlink预言机来解决传统D-ID的问题,从而改善用户的数据隐私、安全和控制权,并为Web3平台带来新的用例。
数字身份  区块链  Chainlink预言机  DECO  Bloom  去中心化身份 

可信发布:打包安全的新基准

本文介绍了PyPI(Python Package Index)上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建,无需长期存在的APIToken和密码,降低了供应链攻击和凭据泄露的风险,简化了发布工作流程,允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。
PyPI  可信发布  OpenID Connect  OIDC  供应链安全  身份验证