分享百科

漏洞

MerkleDB审计 - Openzeppelin

本次是对MerkleDB的预生产使用的代码审计,发现了一个高危漏洞,即能够为Trie中存在的键生成有效的排除证明。此外,还发现了一些低危漏洞和信息性问题,例如RecordKeyChange忽略ErrorNotFound、addPathInfo函数可能使用错误的压缩键等。代码质量总体较高,但在实际生产环境中仍需进行更广泛的测试。
MerkleDB  代码审计  排除证明  Trie  漏洞  数据存储  数据验证 

你本可以发现Nomad黑客攻击

本文探讨了Nomad桥的漏洞及其被黑的原因,强调了未审计代码带来的安全风险,并介绍了一项新工具——审计覆盖追踪器,该工具旨在提供DeFi协议代码的审计状态信息,从而帮助开发者和用户避免类似的安全问题。
Nomad桥  漏洞  审计  DeFi  智能合约  安全风险 
  • zellic
  • 发布于 2022-11-16
  • 阅读 ( 299 )

代码检查器 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Code Inspector,它是一个与Github集成的代码分析工具,通过机器学习和安全专家开发的工具自动进行代码分析,识别潜在漏洞并提出改进建议。
代码分析  漏洞  智能合约  GitHub  OpenZeppelin  安全 

DeFi 中的舍入误差:1 Wei 如何让你损失数百万美元

DeFi领域中的rounding errors漏洞依然普遍存在,可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因,并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞,强调了Formal Verification在保障DeFi协议安全中的作用。
Rounding Errors  Formal Verification  DeFi安全  智能合约  Juice Finance  漏洞 
  • Certora
  • 发布于 2025-04-22
  • 阅读 ( 930 )
  • ( 26 )

预编译对齐错误:根本原因分析 - Anza

Agave的ed25519和secp256r1预编译程序中存在一个bug,该bug在新版v2.2引入的--transaction-structure view选项的验证器中被暴露。
Ed25519  secp256r1  预编译程序  交易结构体  Agave  漏洞 
  • Anza
  • 发布于 2025-04-25
  • 阅读 ( 335 )
  • ( 14 )

如何分析报告并成为出色的审计师

文章通过详细分析多个审计报告,提供了如何识别和解决智能合约漏洞的实用技巧,强调深度分析和验证的重要性。
审计  智能合约  漏洞  EVM  codehash  USDC 

加密货币 Staking:理解智能合约漏洞及预防策略

本文探讨了加密货币 staking 中智能合约漏洞的风险,并提供了防范策略。强调了智能合约的不可变性以及由此带来的潜在安全隐患,如重入攻击、gas 限制问题和不当访问控制。文章还介绍了安全审计、智能合约保险和用户最佳实践等风险预防措施,并提供了评估 staking 平台安全性的关键标准和监控工具。
staking  智能合约  漏洞  安全审计  风险管理  重入攻击 

为什么形式化验证是DeFi和Web3安全的必需品

本文强调了形式化验证(FV)在Web3和DeFi安全中的重要性,指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行,能预防高危漏洞,并已在多个知名DeFi项目中应用,同时建议将FV尽早集成到开发生命周期中,以提升代码质量和安全性。
形式化验证  Web3  DeFi  安全  智能合约  漏洞 
  • Certora
  • 发布于 2025-04-25
  • 阅读 ( 562 )
  • ( 31 )

Agave 网络补丁:根本原因分析

本文详细介绍了Solana网络中的一个漏洞,该漏洞可能导致节点崩溃,进而阻碍网络共识。Anza核心工程师及时修补了该漏洞,并与社区合作确保大多数验证者升级到最新版本以防止利用。文中还分析了漏洞的根本原因及修复过程,展示了有效的安全响应策略。
Solana  漏洞  安全修复  节点崩溃  CALL_REG  团队协作 
  • Anza
  • 发布于 2024-08-17
  • 阅读 ( 471 )

crvUSD审计结果总结

本文讨论了Curve Finance的crvUSD稳定币在审计过程中发现的两处关键安全漏洞。首先是一个任意调用漏洞,它允许攻击者在未经授权的情况下从AMM中提取资金;其次是捐赠攻击,攻击者可以通过特定操作在不同价格范围内盗取用户资金。文中详细分析了这些漏洞的原理以及Curve团队如何进行了修复,并强调了进行外部审计的重要性。
crvUSD  安全审计  智能合约  漏洞  Curve Finance  攻击 

区块链安全漏洞案例研究及经验教训

本文深入探讨了区块链安全漏洞,分析了The DAO攻击、Poly Network攻击、DeFi闪贷攻击和DNS劫持等重大安全事件,总结了安全风险管理策略与实践,并展望了区块链安全的未来趋势,包括行业合作、技术进步、监管合规和人才培养。强调了安全措施的重要性,并呼吁各方共同努力,构建更安全的区块链生态系统。
区块链安全  智能合约  DeFi  DNS劫持  风险管理  漏洞 

增强区块链安全的新兴技术

本文探讨了区块链安全面临的挑战和漏洞,包括新兴威胁、传统网络攻击的演变、区块链架构中的脆弱性以及促成这些挑战的因素。文章还讨论了创新的区块链安全解决方案,如机器学习的集成、智能合约审计的改进、去中心化存储和隐私技术的利用,以及行业标准的制定。最后,展望了区块链安全市场的增长趋势,强调了持续安全研究和合作的重要性。
区块链安全  智能合约  网络攻击  漏洞  安全解决方案  隐私技术 

Multichain合约漏洞事后分析

Multichain于2022年1月10日意识到其流动性池合约和路由合约存在关键漏洞,影响了WETH、WBNB等八种代币。漏洞被修复后,仍有部分用户未撤销对受影响路由合约的授权,面临风险。Multichain发布公告敦促用户立即采取行动,并提出补偿计划,对已撤销授权并提交申请的用户100%赔偿损失。团队还向报告漏洞的安全公司Dedaub支付了高额漏洞赏金。
多链  漏洞  合约安全  权限撤销  漏洞赏金  跨链桥 

Wormhole事件报告 - 2022年2月2日

2022年2月2日,Wormhole网络遭受攻击,攻击者利用签名验证漏洞在Solana上铸造了12万枚无抵押wETH,并将其中93,750枚转移到以太坊。Jump Crypto已为合约注资以确保所有wETH都有足额抵押。Wormhole网络已恢复运行,并悬赏1000万美元寻求有关追捕黑客或追回被盗资产的信息。
Wormhole  跨链桥  漏洞  攻击  签名验证  Solana  以太坊 

MEV机器人遭遇攻击损失2500万美元:分析揭示

2023年4月3日,以太坊上的多个MEV机器人在16964664区块中遭到攻击,一名恶意验证者替换了8个交易,导致5个MEV机器人损失约2538万美元。攻击主要针对与Flashbots相关的MEV机器人。漏洞在于Flashbots的mev_boost_relay模块未正确处理错误,恶意验证者利用这一点修改区块内容并成功使其被主网接受,最终攻击者耗尽了MEV机器人的资金池。
MEV 机器人  Flashbots  以太坊  漏洞  攻击  三明治攻击 
  • zan.top
  • 发布于 2023-04-13
  • 阅读 ( 211 )
登链社区