智能合约安全

攻击者主要是通过多次调用skim方法触发转帐来增发Three-Body代币到Lp合约，然后通过重复以下两步操作：（1）转帐大于0.1 USDT。 （2）调用addLiquidity方法。将Lp合约中的Three-Body代币掏空。最后卖出Three-Body代币，归还闪电贷。

开坑使用Hardhat闯关Ethernaut CTF题，提高合约和测试脚本的能力，后续也会增加Paradigm CTF的闯关题目。

以太坊 Solidity 未初始化存储指针安全风险

2024年5月15日，SonneFinance遭受攻击，项目方损失超过2千万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

基础信息2024.12.10日CloberDex合约遭受重入攻击导致损失133.7个WETH。我对此攻击进行了分析，深入代码查看漏洞根源，梳理攻击流程，并基于foundry完成了一份PoC。本次攻击的根因：未检测用户输入+重入漏洞。

本文概述了Web3构建者、开发人员和安全团队在设计、开发和维护安全智能合约系统时必须考虑的核心安全基本原则。文章提出了一个框架，讨论了贯穿软件开发生命周期的八个核心安全考量类别，从威胁建模到应急响应准备，强调安全应该是成功开发的组成部分，而不是事后才考虑的附加组件。

本文分析了多个利用智能合约标准（如ERC777、ERC20 Permit、ERC1155、EIP-2535等）漏洞进行攻击的案例，强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等，并建议采取多层次验证措施，如单元测试、模糊测试和模拟攻击，以降低漏洞风险。

深度解析 Solidity主要注意的17个安全问题

制裁对Web3生态的影响是深远的，尤其是对以Tornado Cash为代表的Web3隐私赛道更是会产生巨大冲击。如今制裁已经过去了两周，我们将通过链上数据，来分析这次制裁带来的影响。

9月初发生了一次针对penpie合约的攻击，造成约2700万美金的损失。我对这次攻击进行了梳理，分析了漏洞成因，总结了攻击步骤，并且完成了一份PoC，本地测试可获利2000多ETH。本次攻击的本质是重入漏洞。