分享百科

漏洞

Wormhole 安全 - 治理者

本文档介绍了Governor的设计,旨在限制特定漏洞的影响,通过赋予 Guardians 延迟来自已注册Token Bridge的Wormhole消息的选项来实现,特别是当其总名义价值非常大时,给守护者24小时的时间来删除通过软件错误创建的消息,而不是准确地表示原始链的状态,从而防止了漏洞利用。
Wormhole  Governor  Token Bridge  漏洞  安全  Guardian 

解码AllBridge 57万美元闪电贷攻击

AllBridge在BNB链上遭遇闪电贷攻击,USDT和BUSD稳定币池被攻击,损失约57万美元。攻击原因是withdraw函数中的逻辑缺陷,允许攻击者操纵swap价格。攻击者通过闪电贷获得资金,操纵价格,耗尽池中资金,之后AllBridge团队暂停了桥,并向攻击者提供赏金以换取资金返还,最终攻击者归还部分资金并保留剩余部分作为白帽赏金。
闪电贷攻击  Allbridge  漏洞  DeFi  BNB 链  智能合约安全 

Allbridge Core重启后的更新

Allbridge Core协议在4月初遭受攻击,损失约65万美元。通过与合作伙伴合作,大部分资金已追回并用于赔偿受影响用户。文章分析了导致攻击的流动性池问题,并介绍了修复方案,包括改进流动性计算、引入储备金和重新平衡机制、限制每条链一个资产池、自动和手动关闭机制等。此外,Allbridge Core将开源其EVM和Tron合约。
Allbridge Core  漏洞  攻击  流动性池  vUSD  安全 

Across 协议 Diff 审计 - Arbitrum 自定义 GasToken 和独占期

本文是一篇针对 Across 协议的智能合约代码审计报告,该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题,并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。
智能合约  代码审计  以太坊  漏洞  gas token  安全性 

Solodit检查清单详解:系列前言

本文介绍了Solodit Checklist,一个帮助开发者构建安全智能合约的实用工具。作者强调了理解智能合约安全的重要性,并提供了通过该检查清单进行深入学习和实践的方法,以避免潜在漏洞和安全风险。
智能合约  安全性  Solidity  区块链  DeFi  漏洞 
  • cyfrin
  • 发布于 2025-04-08
  • 阅读 ( 660 )
  • ( 16 )

解读Pike Finance漏洞

Pike Beta协议于2024年4月30日遭受攻击,损失了价值超过160万美元的99,970.48 ARB、64,126 OP和479.39 ETH。漏洞源于在升级合约以暂停协议时引入新依赖项,导致存储布局错位,攻击者能够绕过管理权限升级合约并提款。项目方已通过其X账号承认了此次事件。
Pike Finance  漏洞  以太坊  Arbitrum  Optimism  智能合约 

无需许可:Multichain漏洞利用解析

Multichain协议的用户遭到攻击,攻击者利用Multichain智能合约中的漏洞窃取了数百万美元的代币。文章深入分析了漏洞的技术细节,利用Tenderly调试器重放智能合约交易,揭示了攻击者如何通过构造恶意合约、绕过WETH合约的permit函数以及利用用户预先授权的无限额度来窃取资金。文章还总结了漏洞产生的多个因素,并提出了安全建议。
Multichain  漏洞  智能合约  Tenderly调试器  ERC20 permit函数  BaDapprove 

Damn Vulnerable DeFi V4 解决方案 —— #10. Free Rider

本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞,该漏洞存在于NFT市场的购买逻辑中,由于在支付卖家之前就将NFT转移给买家,导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金,购买所有NFT,然后将NFT转移到recoveryManager合约以获得赏金,最后偿还闪电贷。
智能合约  漏洞  NFT  闪电贷  重入攻击  以太坊 

UMA Across V2 审计 - OpenZeppelin 博客

OpenZeppelin 对 Across Protocol 的 contracts-v2 代码仓库进行了安全评估,发现了多个问题,包括客户端报告的 refunds 处理不当、slow fill 潜在的支付不足以及 recipient/message 功能失效等问题。
智能合约  安全审计  跨链桥  以太坊  漏洞  Optimistic Oracle  UMIP 

保障Grandine的性能

该项目旨在通过并行化和高效设计提高 Grandine 客户端的性能和简化性。项目将进行 Grandine 和 Lighthouse 的对比分析,建立基准性能指标,评估现有测试基础设施,集成性能监控到 CI/CD 管道,探索高级测试技术,并实施有希望的测试方法来发现和解决漏洞,提高 Grandine 的可靠性和效率,从而为以太坊网络的稳定性和性能做出贡献。
Grandine  Lighthouse  性能分析  测试  CI/CD  漏洞 

Fei Protocol 闪电贷漏洞修复审查

白帽黑客Alexander Schlindwein发现了Fei协议中的一个严重漏洞,该漏洞若被利用,可能导致并且协议损失60000 ETH,因而被授予80万美元的奖励。Fei协议是一个去中心化的算法稳定币协议,其执行过程中可以利用闪电贷对市场进行操控。快速借贷攻击可能允许攻击者以低于真正市场价格的价格购买FEI。协议已经实施了多个修复措施,确保此类漏洞不会再发生。包括禁止通过债券曲线的ETH存款直接进入Uniswap池,以及设置滑点参数以防止市场操控。整个事件强调了针对闪电贷的防御机制及修复措施的必要性。
Fei Protocol  闪电贷  漏洞  白帽黑客  安全  修复 

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

我们正在使用遗留系统!

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件,揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。
Active Directory  NTDS.dit  漏洞  渗透  勒索软件  多因素认证 

智能合约全面审计准备 — 入门指南

本文主要介绍了智能合约审计的准备工作,包括选择审计机构、审计范围和定价、审计流程、整体方法、预定审计时间、代码准备、审计费用和包含内容,以及审计准备情况,强调了全面审计对于确保项目安全和成功的投资的重要性。
智能合约  审计  代码安全  漏洞  渗透测试  区块链安全 

宣布“万亿美元安全计划”

以太坊基金会宣布启动“万亿美元安全计划”,旨在通过生态系统范围内的努力,提升以太坊的安全性,目标是让数十亿用户能够安全地在链上存储超过1000美元,并让公司、机构或政府能够在单个合约或应用中安全地存储超过1万亿美元的价值。该计划包括评估安全优势和攻击途径、实施改进措施以及加强安全沟通。
以太坊  安全  区块链  智能合约  安全审计  漏洞 
登链社区