阿菜种菜的菜园子

摘要： 代币漏洞 攻击者可以通过 transferFrom 函数 burn 任意账户的 Vul 代币。 因为本问涉及的漏洞可导致用户资产损失，所以不提供代币和 Pool 的地址，代币名称用 Vul 代币代替。 利用方式 在 V2 Pool 场景下，针对 burnable 漏洞的利用方式 购买少量 Vul 代 阅读全文

摘要： 背景 在 EVM 生态上，存在各式各样的 ERC20 代币，因其实现方式有着极高的自由度，也催生了花样繁多的恶意代币。这些恶意代币通常会在代码中实现一些恶意的逻辑（禁止用户卖出，特权铸造或销毁等），其目的就是骗取用户买入后把用户的钱卷走。 诶！为了解决这个情况，Solana 官方提供了官方的代币模板 阅读全文

摘要： 背景信息 2024 年 5 月 6 日，SATURN 代币遭受价格操控攻击，损失 15 BNB。攻击发生的原因是由于 SATURN 代币的代币通缩机制设计不合理，使得攻击者可以通过燃烧池子中的 SATURN 代币来操控价格完成获利。 项目社媒：https://x.com/Saturn_POM 社媒告 阅读全文

摘要： 背景信息 2024 年 9月 3日，Penpie 合约遭受重入攻击，攻击者在重入阶段向合约添加流动性来冒充奖励金额，从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。 2024 年 5月，Penpie 平台新增了推出了无需许可的资产池功能，即允许 Pendle 上的用户可以在该平台上自建 阅读全文

摘要： 背景 OSN 是一种 fee on transfer 代币，会根据用户分红账户的余额对用户发放分红。攻击者利用漏洞增发分红账户的余额，随后触发分红机制完成获利。 OSN：https://bscscan.com/address/0x810f4c6ae97bcc66da5ae6383cc31bd3670 阅读全文

摘要： 背景介绍 2024 年 7 月 18 日，WazirXIndia 遭遇黑客攻击，损失约 2.35 亿美元。本次攻击是由于 ETH 上的 GnosisSafe 合约的 owner 私钥和 3 个多签钱包私钥泄露造成的。攻击者劫持了多重签名钱包的 implement 合约，然后直接转移钱包持有的资产。 阅读全文

摘要： 背景信息 2024 年 7 月 16日，Li.Fi 协议遭受黑客攻击，漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查，导致 call 函数任意执行。且 diamond 合约拥有用户的 approve，所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交易ht 阅读全文

摘要： 背景介绍 2024 年 7 月 12 日，DoughFina 协议遭受了黑客攻击，造成本次攻击的主要原因是 ConnectorDeleverageParaswap 合约没有对输入参数进行检查，且该合约为 DSA 合约的 owner。攻击者可以构造恶意参数窃取 DSA 合约的资金。 攻击交易 http 阅读全文

摘要： 前言 最近在了解零知识证明方面的内容，这方面的内容确实不好入门也不好掌握，在了解了一些基础的概念以后，决定选择一个应用了零知识证明的项目来进行进一步的学习。最终选择了 Tornado Cash 这个项目，因为它著名且精致，适合入门的同学进行学习。 学习 Tornado Cash 项目，涉及以下方面： 阅读全文

摘要： 在本篇文章中，我将通过一个攻击事件引出 Reflection Token 攻击事件的一个通用分析思路。 关于 Reflection Token 的其他案例分析，可以参考BEVO代币攻击事件分析及复现一文。 TomInu 攻击事件 TomInu Token 是一个反射型代币 reflection to 阅读全文