攻击

tx.origin攻击实现，一次调用，转干合约

文章讨论了区块链面临的主要威胁，包括政府攻击和社区内部的反对者，并比较了PoW和PoS共识机制的安全性和效率。

Quicksilver liquid staking protocol 在 onboard Cosmos Hub 时遭遇恶意攻击，攻击者利用 Cosmos Hub 中 IBC-go 版本的安全漏洞阻止了 Quicksilver 的 onboard。

Sharedstake的sgETH合约在2023年8月31日遭到攻击，攻击者通过不当的所有权检查获得了无限铸造sgETH的权限，从而提取了价值约105 ETH的资金。为避免进一步损失，Sharedstake已暂停相关功能并与社区和安全专家合作进行追踪和恢复。

Cyfrin发布了五月份的区块链安全和教育新闻，内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外，还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程，以及CodeHawks成功案例。最后，文章还讨论了高调黑客攻击和安全事件，并给出了行业新闻和建议。

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件，主要分析了不一致的Scaling问题，包括MBU Token由于Scaling不匹配导致攻击者获利200万美元，以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。

本文分析了多个利用智能合约标准（如ERC777、ERC20 Permit、ERC1155、EIP-2535等）漏洞进行攻击的案例，强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等，并建议采取多层次验证措施，如单元测试、模糊测试和模拟攻击，以降低漏洞风险。

sui 存钱罐涉及的管理权限adminCap 和upgradeCap ，其中upgradeCap 可能绕过adminCap限制