摘要:
背景介绍 2024 年 7 月 18 日,WazirXIndia 遭遇黑客攻击,损失约 2.35 亿美元。本次攻击是由于 ETH 上的 GnosisSafe 合约的 owner 私钥和 3 个多签钱包私钥泄露造成的。攻击者劫持了多重签名钱包的 implement 合约,然后直接转移钱包持有的资产。 阅读全文
摘要:
背景信息 2024 年 7 月 16日,Li.Fi 协议遭受黑客攻击,漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查,导致 call 函数任意执行。且 diamond 合约拥有用户的 approve,所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交易ht 阅读全文
摘要:
背景介绍 2024 年 7 月 12 日,DoughFina 协议遭受了黑客攻击,造成本次攻击的主要原因是 ConnectorDeleverageParaswap 合约没有对输入参数进行检查,且该合约为 DSA 合约的 owner。攻击者可以构造恶意参数窃取 DSA 合约的资金。 攻击交易 http 阅读全文
摘要:
前言 最近在了解零知识证明方面的内容,这方面的内容确实不好入门也不好掌握,在了解了一些基础的概念以后,决定选择一个应用了零知识证明的项目来进行进一步的学习。最终选择了 Tornado Cash 这个项目,因为它著名且精致,适合入门的同学进行学习。 学习 Tornado Cash 项目,涉及以下方面: 阅读全文
摘要:
在本篇文章中,我将通过一个攻击事件引出 Reflection Token 攻击事件的一个通用分析思路。 关于 Reflection Token 的其他案例分析,可以参考BEVO代币攻击事件分析及复现一文。 TomInu 攻击事件 TomInu Token 是一个反射型代币 reflection to 阅读全文
摘要:
Hundred Finance 背景知识 Hundred Finance 是 fork Compound 的一个借贷项目,在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子,因为发起攻击的前提是池子处于 empty 的状态(发行的 hToken 数量为 0)。 阅读全文
摘要:
# 抽象账户是什么 抽象账户(也有叫合约钱包)是 EIP-4337 提案提出的一个标准。简单来说就是通过智能合约来实现一个“账户(account)”,在合约中自行实现签名验证的逻辑。这样,就使得该合约拥有了“签发交易”的能力。通过抽象账户签发的“交易”我们叫做用户操作(UserOperation,简 阅读全文
摘要:
前言 BEVO代币是一种Reflection Token(反射型代币),并且拥有通缩的特性。关于Reflection Token更为详细的说明可参考这篇文章。然后目前浏览到的很多分析报告没有指出其漏洞产生的真正原因,所以就自己试着去做一下分析吧。 总结性的分析思路可以参考这篇文章:Reflectio 阅读全文
摘要:
前言 最近审计的时候有涉及到签名与验签的内容,所以想着补一下这方面的知识。但是因为签名涉及到密码学的内容,以及对自己的实力有着清楚的认识,所以本篇文章第一部分提供一个学习路线,第二部分是在随着学习路线一直深入过程中的一些疑问,以及关于这些疑问的一些文章。希望对你有帮助。 技术路线 离散数学-群论 椭 阅读全文
摘要:
前言 作为一个初学者,“在 Solidity 中 ++i 为什么比 i++ 更省 Gas?” 这个问题始终在每个寂静的深夜困扰着我。也曾在网上搜索过相关问题,但没有得到根本性的解答。最终决定扒拉一下它们的字节码,从较为底层的层面看一下它们的差别究竟在哪里。 Solidity 代码选择 Solidit 阅读全文