摘要:
项目背景 Morpho blue (下称 Morpho)是一个超额抵押借贷协议。与传统的借贷协议不同,Morpho 无需经过治理批准即可创建任意定制化的借贷市场。用户可以通过指定一项贷款资产、一项抵押资产、清算贷款价值 (LLTV)、预言机和利率模型 (IRM) 等参数来创建一个独立市场。市场创建以 阅读全文
摘要:
背景信息 攻击交易:https://app.blocksec.com/explorer/tx/eth/0x9a1d02a7cb9fef11fcec2727b1f9e0b01bc6bcf5542f5b656c84d6400a1b4604 漏洞合约:https://etherscan.io/addres 阅读全文
摘要:
项目介绍 Pendle 官方网站:https://www.pendle.finance/ Pendle Finance 是一种无需许可的收益交易协议,用户可以在其中执行各种收益管理策略,通过将 DeFi 上的生息资产拆分成 PT(本金代币)和 YT(收益代币)来实现上述功能。 将 1 ETH 质押成 阅读全文
摘要:
代币漏洞 攻击者可以通过 transferFrom 函数 burn 任意账户的 Vul 代币。 因为本问涉及的漏洞可导致用户资产损失,所以不提供代币和 Pool 的地址,代币名称用 Vul 代币代替。 利用方式 在 V2 Pool 场景下,针对 burnable 漏洞的利用方式 购买少量 Vul 代 阅读全文
摘要:
背景 在 EVM 生态上,存在各式各样的 ERC20 代币,因其实现方式有着极高的自由度,也催生了花样繁多的恶意代币。这些恶意代币通常会在代码中实现一些恶意的逻辑(禁止用户卖出,特权铸造或销毁等),其目的就是骗取用户买入后把用户的钱卷走。 诶!为了解决这个情况,Solana 官方提供了官方的代币模板 阅读全文
摘要:
背景信息 2024 年 5 月 6 日,SATURN 代币遭受价格操控攻击,损失 15 BNB。攻击发生的原因是由于 SATURN 代币的代币通缩机制设计不合理,使得攻击者可以通过燃烧池子中的 SATURN 代币来操控价格完成获利。 项目社媒:https://x.com/Saturn_POM 社媒告 阅读全文
摘要:
背景信息 2024 年 9月 3日,Penpie 合约遭受重入攻击,攻击者在重入阶段向合约添加流动性来冒充奖励金额,从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。 2024 年 5月,Penpie 平台新增了推出了无需许可的资产池功能,即允许 Pendle 上的用户可以在该平台上自建 阅读全文
摘要:
背景 OSN 是一种 fee on transfer 代币,会根据用户分红账户的余额对用户发放分红。攻击者利用漏洞增发分红账户的余额,随后触发分红机制完成获利。 OSN:https://bscscan.com/address/0x810f4c6ae97bcc66da5ae6383cc31bd3670 阅读全文
摘要:
背景介绍 2024 年 7 月 18 日,WazirXIndia 遭遇黑客攻击,损失约 2.35 亿美元。本次攻击是由于 ETH 上的 GnosisSafe 合约的 owner 私钥和 3 个多签钱包私钥泄露造成的。攻击者劫持了多重签名钱包的 implement 合约,然后直接转移钱包持有的资产。 阅读全文
摘要:
背景信息 2024 年 7 月 16日,Li.Fi 协议遭受黑客攻击,漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查,导致 call 函数任意执行。且 diamond 合约拥有用户的 approve,所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交易ht 阅读全文