全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

AVA Warp Messaging 安全审计

本文是对Avalanche Warp Messaging协议的一次安全审计,发现该协议缺乏内置的重放攻击预防和目标链验证机制,存在潜在的拒绝服务风险。此外,代码中存在结构体内存布局效率低下和不必要的空签名赋值等问题。审计报告肯定了该协议设计的简洁性和代码质量,并强调了开发者在构建跨链消息传递应用时需要考虑安全性。
Avalanche  跨链消息传递  安全审计  重放攻击  拒绝服务  内存布局  BLS签名 

为什么优先选择模糊测试而非形式化验证?

本文探讨了形式化验证和模糊测试在智能合约安全审计中的应用。文章指出,形式化验证虽然理论上可以证明代码中不存在漏洞,但在实际复杂代码库中难以实现,并且模糊测试可以发现形式化验证所能发现的相同漏洞。文章建议在采用形式化验证之前,应优先使用模糊测试,并强调编写高质量不变量的重要性。
形式化验证  模糊测试  智能合约  安全审计  不变量  Echidna 

让 EVM 再次伟大,用智能合约保证 MEME 的安全

让EVM再次伟大,用智能合约保证MEME的安全
Solidity 
  • 33357
  • 发布于 2024-03-19
  • 阅读 ( 2361 )
  • ( 18 )

零时科技 || WOOFi 攻击分析

Arbitrum链上的WOOFi遭遇攻击,损失约900万美元。攻击利用合约漏洞拉高WOO价格后通过低价兑换大量WOO,最终导致重大损失。官方与攻击者沟通提出白帽奖金,但资金未归还。问题后被修复,指出设计和审计的重要性。
安全事件分析  DeFi安全 

小技巧:使用 Halmos 实现有状态不变性测试

本文介绍了如何使用 Halmos(a16z crypto 开发的开源形式验证工具)进行状态不变性测试,通过将函数调用符号化,并使用 Halmos 的 cheat codes 创建符号输入,从而绕过 Halmos 原生不支持状态测试的限制。该方法通过一个简化的 Multi-Collateral DAI 系统案例进行了验证,展示了 Halmos 在检查依赖于多个函数调用的不变量方面的灵活性。
Halmos  形式验证  不变性测试  符号执行  EVM智能合约  模糊测试 

DFXFinance 重入事件分析

in  Security Incidents Analysis
DFXFinance 在 Nov , 2022 发生重入攻击事件, 损失 3000 ETH or $~4M,这是很典型的跨函数重入攻击。很多安全专家已经对此事件进行了分析,我将跟随前人的脚步进行分析,旨在加深对跨函数重入的理解,并在最后给出了安全建议。
  • Lorrie
  • 发布于 2024-03-11
  • 阅读 ( 2516 )
  • ( 17 )

JUICE Staking 漏洞事件,后续行动

2024年3月9日,$JUICE质押合约遭到攻击,攻击者通过多次交易盗取了1,303,811个$JUICE代币,并在Uniswap上立即卖出,获利约54 ETH。团队立即采取措施,关闭质押网站并启动调查。团队决定向受影响用户进行1:1代币空投,并使用部分ETH回购并销毁代币,以稳定价格。未来将加强智能合约安全审计。
JUICE Staking  合约漏洞  以太坊  Uniswap  代币空投  智能合约 

漏洞分析:WOOFi黑客攻击

2024年3月5日,WOOFi的合成主动市场制造(sPMM)算法在Arbitrum网络上遭受攻击,损失达到860万美元。攻击者通过一系列闪电贷操控低流动性条件,导致WOO价格异常低下,从而获利。本文详细分析了攻击的背景、步骤及其导致的漏洞。
WOOFi  sPMM  闪电贷款  价格操控  安全漏洞  合约攻击 
  • Cyfrin
  • 发布于 2024-03-10
  • 阅读 ( 1558 )

CirculateBUSD 跑路事件分析

in  Security Incidents Analysis
攻击过程分析2023年1月12日下午14:22:39,CirculateBUSD项目跑路,损失金额227万美金。
安全事件分析 
  • Lorrie
  • 发布于 2024-03-09
  • 阅读 ( 2655 )
  • ( 13 )

MEVBot 攻击事件分析

in  Security Incidents Analysis
通过对 MEVBot 攻击事件进一步分析来理解如何利用 calldata 进行攻击
安全事件分析  Calldata 
  • Lorrie
  • 发布于 2024-03-08
  • 阅读 ( 2628 )
  • ( 9 )

Ethernaut 题解 - Switch

通过破解 Ethernaut - Denial 来了解CALLDATA,该合约非常简单,旨在学习。
Ethernaut 
  • Lorrie
  • 发布于 2024-03-08
  • 阅读 ( 3206 )
  • ( 10 )

深入分析 Euler Finance 漏洞

Euler Finance遭遇了约2亿美元的黑客攻击,原因是其EToken智能合约中的缺陷导致的流动性检查缺失。文章详细分析了攻击的步骤、所用合约和过程,并提供了攻击的概念验证。解读了如何在该协议中出现此类漏洞及其可能的解决方案。
Euler Finance  黑客攻击  智能合约  流动性检查  动态清算  代码审计 
  • Cyfrin
  • 发布于 2024-03-08
  • 阅读 ( 807 )

绕过EOA账户检查

介绍以太坊账户,合约部署,如何绕过EOA账户检查,以及给开发者的安全建议。
isContract 
  • Lorrie
  • 发布于 2024-03-07
  • 阅读 ( 2562 )
  • ( 19 )

SharkTeam:Woo Finance被攻击事件分析

in  智能合约安全
2024年3月5日,WooFinance部署在Arbitrum上的合约遭受闪电贷攻击,损失约850万美元。此前,2月23日,WooFinance部署在Ethereum上的合约就曾被攻击,损失约3,891美元。
智能合约安全 
  • SharkTeam
  • 发布于 2024-03-07
  • 阅读 ( 3041 )
  • ( 4 )

Ockam 的密码学设计审查

Trail of Bits 对 Ockam 的安全通信协议设计进行了密码学设计审查,Ockam 旨在实现跨异构网络的安全通信。审查肯定了 Ockam 设计的优点,并提出了加强系统安全性的建议,包括改进文档、明确安全保证以及进行形式化验证,使用 Verifpal 和 CryptoVerif 等工具来验证 Ockam Identities 的安全性。
密码学  安全协议  形式化验证  Noise 协议  Ockam Identities  安全通信 

EDGFinance 闪电贷价格操纵事件分析

in  Security Incidents Analysis
EDGFinance 在2022-08-07 23:15:46(UTC) 遭受闪电贷价格操纵攻击,导致近$36,044的损失。
价格操纵  闪电贷攻击 
  • Lorrie
  • 发布于 2024-03-04
  • 阅读 ( 2676 )
  • ( 26 )

Ethernaut 题解 - Dex

通过破解 Ethernaut - Denial 来了解价格操纵,该合约非常简单,旨在学习,后续将更新如何通过闪电贷操纵价格,以及BonqDAO 价格操纵事件分析
Ethernaut 
  • Lorrie
  • 发布于 2024-03-03
  • 阅读 ( 2741 )
  • ( 9 )

Ethernaut学习之路 Denial

通过 Ethernaut Denial 了解Denial of Service攻击
Ethernaut 
  • Lorrie
  • 发布于 2024-03-02
  • 阅读 ( 2112 )
  • ( 8 )

Ethernaut学习之路 GateKeeperThree

Ethernaut Solutions-GateKeeperThree 合约分析以及相应PoC
Ethernaut 
  • Lorrie
  • 发布于 2024-02-28
  • 阅读 ( 2571 )
  • ( 9 )

Ethernaut学习之路 GateKeeperTwo

Ethernaut Solutions-GateKeeperTwo 合约分析以及相应PoC
Ethernaut 
  • Lorrie
  • 发布于 2024-02-28
  • 阅读 ( 2596 )
  • ( 24 )