全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件

in  智能合约安全
6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。
区块链安全  链上分析 
  • SharkTeam
  • 发布于 2022-06-16
  • 阅读 ( 4612 )
  • ( 4 )

真实攻击案例分析系列之Fantasm Finance攻击事件分析

一句话对这个漏洞进行总结:合约中的漏洞是个典型的`逻辑漏洞`,漏洞主要在`Pool合约`中的`mint`方法中,在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM,而合约代码只对FSM进行了销毁,却`没有考虑FTM`的情况,导致即使用户不输入FTM,也能获得xFTM。
攻击  逻辑漏洞 
  • 小驹
  • 发布于 2022-06-16
  • 阅读 ( 3316 )
  • ( 6 )

dapp安全总结与典型安全事件

以太坊以及EVM的诞生使得 `Dapp`这种新的业务形态成为可能。总的来说,EVM实现了一个全局的状态机,为所有的 `Dapp`提供了统一的状态空间;实现了图灵完备,并抽象出了账户模型,账户之间可以相...
DApp  区块链安全 
  • jianghai
  • 发布于 2022-06-15
  • 阅读 ( 6818 )
  • ( 90 )

C.R.E.A.M Hack with Yearn

独乐乐,不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路,以及POC。
  • bixia1994
  • 发布于 2022-06-15
  • 阅读 ( 3116 )
  • ( 3 )

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
漏洞分析  MetaMask  钱包 

Yearn Finance 如何处理 War Room 情况

本文分析了 Yearn Finance 在应对 Web3 紧急情况时采取的结构化方法,重点介绍了 War Room 的关键角色、职责以及如何根据 Yearn Finance 的检查清单制定行动计划,为读者提供了一份实用的应急处理指南,强调了提前准备和有效沟通的重要性。
Web3  安全事件  应急预案  Yearn Finance  War Room  事件响应 

如何使用 Tenderly War Rooms 处理紧急情况

Tenderly 推出了 War Rooms,它提供了一个结构化的框架,用于处理时间敏感的情况,特别是Web3中的智能合约漏洞、黑客攻击和漏洞利用。War Rooms主要由 Call Trace、Evaluate Expression 和 Annotation & Prioritization 三个功能组成,旨在帮助团队快速定位问题、调试错误并减轻潜在后果。
tenderly  War Rooms  Call Trace  Evaluate Expression  Annotation  Prioritization  调试 

Yearn Finance 如何处理“作战室”情况

本文分析了 Yearn Finance 如何应对 Web3 紧急情况,例如黑客攻击和漏洞。文章介绍了成立“作战室”的关键角色和职责,以及制定行动计划的步骤,包括确认问题、采取紧急措施、确定根本原因、实施解决方案以及管理后续工作。同时,文章还提供了 Yearn Finance 的应急检查清单,以确保不错过任何重要步骤。
Yearn Finance  Web3  安全  应急预案  漏洞  黑客攻击 

双向舍入:DeFi智能合约中的一种常见安全漏洞

本文讨论了DeFi智能合约中的一种常见安全漏洞——双向舍入,解释了该漏洞如何导致交易者通过回合交易获利,介绍了避免这一漏洞的代码修复方法,并展示了sec3 Pro如何自动检测这类漏洞。通过实例分析,提供了对此问题的深刻见解和解决方案。
双向舍入  DeFi  智能合约  安全漏洞  sec3 Pro  代码审计 
  • Sec3dev
  • 发布于 2022-06-14
  • 阅读 ( 695 )

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

本系列文章从web3安全出发,持续跟进web3安全动态。本文是攻击者通过Discord软件,对用户进行钓鱼,诈骗等行为,点击原文查看具体攻击手法。
Web3  钓鱼攻击  资产安全  安全审计 

WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?

本系列文章从web3安全出发,持续跟进web3安全动态,本文是盗取数字资产的方式,看看你是否中招?
钓鱼攻击  安全审计 

2000 万 OP 代币被盗关键:交易重放

6 月 9 日,Optimism 与 Wintermute 双双发布公告,向社区披露了一起 2000 万 OP 代币丢失的事件。
安全技术研究 

交易重放+管理漏洞—2000万枚OP被盗事件分析

in  区块链安全问题解析
2022年6月9日消息,据Optimism与加密货币做市商 Wintermute 透露,2000万个Optimism代币被黑客盗取。
漏洞分析  区块链安全 
  • SharkTeam
  • 发布于 2022-06-10
  • 阅读 ( 4370 )
  • ( 15 )

合约安全之-变量隐藏安全问题分析

在计算机编程中,当在特定范围(代码块、方法或内部类)中声明的[变量](https://learnblockchain.cn/article/3398)与在外部范围中声明的变量具有相同的名称时,就会发生变量隐藏。变量隐藏在多种计算机语言中都存在,并不仅仅是Solidity语言独有的特性。
智能合约安全 
  • 小驹
  • 发布于 2022-06-09
  • 阅读 ( 2924 )
  • ( 9 )

给 Web3 项目的智能合约安全指南

本文概述了 [Web3 开发](https://learnblockchain.cn/article/4067)人员和安全团队在设计、开发并维护智能合约时必须考虑的安全要素,覆盖了从威胁建模到应急响应准备的整个周期。
Web3  智能合约安全  指南 

合约私有数据泄漏的安全问题分析及演示

所有存储在区块链上都是公开可见的,包括合约的私有状态变量!所以不要在区块链上存储密码和私钥,而且对于确实需要存储的敏感数据尽量使用hash比对的存储密文hash。通过本文可以理解合约[数据的存储](https://learnblockchain.cn/2019/10/05/evm-data),并学会访问合约的状态变量数据。
智能合约安全  存储布局 
  • 小驹
  • 发布于 2022-06-09
  • 阅读 ( 5443 )
  • ( 28 )

Web3开发智能合约安全检查清单

本文概述了Web3构建者、开发人员和安全团队在设计、开发和维护安全智能合约系统时必须考虑的核心安全基本原则。文章提出了一个框架,讨论了贯穿软件开发生命周期的八个核心安全考量类别,从威胁建模到应急响应准备,强调安全应该是成功开发的组成部分,而不是事后才考虑的附加组件。
智能合约安全  威胁建模  访问控制  安全审计  实时监控  应急响应 

零时科技 | Discover 闪电贷攻击事件分析

此次攻击事件主要通过[闪电贷](https://learnblockchain.cn/article/1928)资金控制价格,导致兑换数量波动,对于此类安全事件,建议不要使用外部可控的资金数量来获取价格......
闪电贷攻击  安全审计  区块链安全  黑客攻击 

SharkTeam系列课程—NFT 应用场景分析

in  智能合约安全
SharkTeam合约安全系列课程之NFT&GameFi开发与安全。第五课,让我们一起来聊聊[NFT](https://learnblockchain.cn/article/3923)的应用场景。 本文将从基础设施层、协议和资产层、应用衍生层 3 个层面介绍 NFT 的相关应用场景。
区块链安全  NFT 
  • SharkTeam
  • 发布于 2022-06-06
  • 阅读 ( 4279 )
  • ( 7 )

提案攻击——黑客的新潮流

基于 [DAO](https://learnblockchain.cn/article/3223)提案的攻击也成为了黑客的“新潮流”。前有Beanstalk Farms被“恶意提案+闪电贷”攻击,后有Fortress Loans被“恶意提案+预言机操控”攻击。通过对这两个事件的分析总结下`DAO`治理的一些安全考量
DAO治理  闪电贷攻击  预言机操控  提案攻击  智能合约安全 
  • jianghai
  • 发布于 2022-06-06
  • 阅读 ( 4347 )
  • ( 37 )