全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

tx.origin安全问题总结

在合约代码中,最常用的是使用msg.sender来检查授权,但有时由于有些程序员不熟悉tx.origin和msg.sender的区别,如果使用了tx.origin可能导致合约的安全问题。黑客最典型的攻击场景是利用`tx.origin的代码问题常与钓鱼攻击相结合的组合拳`的方式进行攻击。
安全审计  智能合约安全  Solidity 
  • 小驹
  • 发布于 2022-07-04
  • 阅读 ( 4681 )
  • ( 19 )

如何从完美无瑕的智能合约中窃取 1 亿美元

作者披露了Moonbeam网络中一个严重的设计缺陷,该缺陷可能导致DeFi项目损失超过1亿美元的资产。该漏洞与delegatecall和原生合约的交互有关,恶意合约可以利用Balance ERC-20预编译合约中的漏洞,冒充调用者进行未经授权的操作,从而窃取资金。作者通过负责任的披露,帮助Moonbeam和Moonwell团队修复了漏洞,避免了潜在的巨大损失。
delegatecall  智能合约  漏洞  Moonbeam  预编译合约  安全 
  • pwning
  • 发布于 2022-06-29
  • 阅读 ( 568 )

零时科技 || XCarnival遭遇攻击,黑客获利3000余枚ETH事件分析

攻击者主要通过多次质押借贷和取出NFT获取大量和自己地址对应订单id,随后通过多次调用借款方法取出大量资金......
黑客攻击  区块链安全 

XCarnival NFT 借贷协议漏洞分析

2022 年 06 月 27 日,据慢雾区消息,XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH(约 380 万美元)。XCarnival 是一个 ETH 链上的 NFT 借贷项目,目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。
安全技术研究  借贷  漏洞分析 

智能合约安全审计入门篇 —— delegatecall (2)

[上篇文章](https://learnblockchain.cn/article/4125)中我们了解了什么是 delegatecall 函数以及一个基础的漏洞,这篇文章的目的是加深一下大家对 delegatecall 的印象并带大家一起去玩点刺激的,拿下一个进阶版的漏洞合约。
安全技术研究  delegatecall  智能合约 

保护你的钱包!假钱包全景追踪

慢雾于去年 11 月 24 日发布了关于假钱包黑产的分析报告——慢雾:假钱包 App 已致上万人被盗,损失高达十三亿美元,可想而知,随着时间流逝,直到今天的被盗损失会是多么令人惊讶。今天我们从大数据侧分析,到底有多少假钱包。
安全技术研究  钱包 

WEB3 安全系列 || 攻击类型和经验教训

在Web3的世界中,我们更应该如何从技术上进行规划,解决系统性的弱点,预防并组织新的攻击载体,这些攻击载体的目标,包括加密原生的问题和智能合约的漏洞等等。
Web3  黑客攻击  安全审计  智能合约安全 

深冷存儲:如何更安全保管您的助記詞

本文介绍了深冷存储的概念,即离线保存数字货币资产并传承下去。文章列举了四种深冷存储的实践方案,包括纸张/金属存储、异地备份、Shamir秘密共享方案(SSSS)以及结合AES加密和SSSS的方案。最后,文章提出普通用户可以通过手动将助记词分成三片,每片包含16个单词的方式来有效使用SSSS方案,并分析了破解难度。
深冷存储  助记词  Shamir秘密共享方案  SSSS  AES加密  硬件钱包 

【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件

in  智能合约安全
6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。
区块链安全  链上分析 
  • SharkTeam
  • 发布于 2022-06-16
  • 阅读 ( 4596 )
  • ( 4 )

真实攻击案例分析系列之Fantasm Finance攻击事件分析

一句话对这个漏洞进行总结:合约中的漏洞是个典型的`逻辑漏洞`,漏洞主要在`Pool合约`中的`mint`方法中,在mint方法中调用calcMint方法计算了铸造xFTM时需要的最少FTM和最少FSM,而合约代码只对FSM进行了销毁,却`没有考虑FTM`的情况,导致即使用户不输入FTM,也能获得xFTM。
攻击  逻辑漏洞 
  • 小驹
  • 发布于 2022-06-16
  • 阅读 ( 3312 )
  • ( 6 )

dapp安全总结与典型安全事件

以太坊以及EVM的诞生使得 `Dapp`这种新的业务形态成为可能。总的来说,EVM实现了一个全局的状态机,为所有的 `Dapp`提供了统一的状态空间;实现了图灵完备,并抽象出了账户模型,账户之间可以相...
DApp  区块链安全 
  • jianghai
  • 发布于 2022-06-15
  • 阅读 ( 6806 )
  • ( 90 )

C.R.E.A.M Hack with Yearn

独乐乐,不如众乐乐。下面是我自己重现CREAM的第二次经典HACK的分析思路,以及POC。
  • bixia1994
  • 发布于 2022-06-15
  • 阅读 ( 3103 )
  • ( 3 )

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析

MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
漏洞分析  MetaMask  钱包 

Yearn Finance 如何处理 War Room 情况

本文分析了 Yearn Finance 在应对 Web3 紧急情况时采取的结构化方法,重点介绍了 War Room 的关键角色、职责以及如何根据 Yearn Finance 的检查清单制定行动计划,为读者提供了一份实用的应急处理指南,强调了提前准备和有效沟通的重要性。
Web3  安全事件  应急预案  Yearn Finance  War Room  事件响应 

如何使用 Tenderly War Rooms 处理紧急情况

Tenderly 推出了 War Rooms,它提供了一个结构化的框架,用于处理时间敏感的情况,特别是Web3中的智能合约漏洞、黑客攻击和漏洞利用。War Rooms主要由 Call Trace、Evaluate Expression 和 Annotation & Prioritization 三个功能组成,旨在帮助团队快速定位问题、调试错误并减轻潜在后果。
tenderly  War Rooms  Call Trace  Evaluate Expression  Annotation  Prioritization  调试 

Yearn Finance 如何处理“作战室”情况

本文分析了 Yearn Finance 如何应对 Web3 紧急情况,例如黑客攻击和漏洞。文章介绍了成立“作战室”的关键角色和职责,以及制定行动计划的步骤,包括确认问题、采取紧急措施、确定根本原因、实施解决方案以及管理后续工作。同时,文章还提供了 Yearn Finance 的应急检查清单,以确保不错过任何重要步骤。
Yearn Finance  Web3  安全  应急预案  漏洞  黑客攻击 

双向舍入:DeFi智能合约中的一种常见安全漏洞

本文讨论了DeFi智能合约中的一种常见安全漏洞——双向舍入,解释了该漏洞如何导致交易者通过回合交易获利,介绍了避免这一漏洞的代码修复方法,并展示了sec3 Pro如何自动检测这类漏洞。通过实例分析,提供了对此问题的深刻见解和解决方案。
双向舍入  DeFi  智能合约  安全漏洞  sec3 Pro  代码审计 
  • Sec3dev
  • 发布于 2022-06-14
  • 阅读 ( 685 )

WEB3 安全系列 || 攻击者如何通过Discord软件进行各类钓鱼攻击

本系列文章从web3安全出发,持续跟进web3安全动态。本文是攻击者通过Discord软件,对用户进行钓鱼,诈骗等行为,点击原文查看具体攻击手法。
Web3  钓鱼攻击  资产安全  安全审计 

WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?

本系列文章从web3安全出发,持续跟进web3安全动态,本文是盗取数字资产的方式,看看你是否中招?
钓鱼攻击  安全审计 

2000 万 OP 代币被盗关键:交易重放

6 月 9 日,Optimism 与 Wintermute 双双发布公告,向社区披露了一起 2000 万 OP 代币丢失的事件。
安全技术研究