区块链安全
智能合约审计-拒绝服务
描述:拒绝服务漏洞(DOS)智能合约无法按照设定的方式被调用 核心问题:智能合约中的拒绝服务是一个致命的漏洞,因为漏洞导致的拒绝服务一般为永久性的,无法...
EarningFarm攻击事件分析
根据Numen链上监控显示,3天前EarningFarm发生攻击。见如下链接:https://etherscan.io/tx/0x160c5950a01b88953648ba90ec0a29b0c5383e055d35a7835d905c53a3dd...
引介|EVM 深入探讨 Part 2
By: Flush导语在第 1 部分中,我们探讨了 EVM 如何通过被调用的合约函数知道需要运行哪个字节码,其中我们了解了调用栈、calldata、函数签名和 EVM 操作码指...
记一次链上赌场攻击事件
01事件背景1.1 愤怒的项目方一位刚刚毕业的Web3创业者,编写了一个赌场的项目,用户可以通过Mint NFT来进行抽奖。但不幸的是,合约中有一个...
智能合约审计-返回值检查
描述:未检查低级别调用的返回值,在solidity中的低级别调用与其他函数调用不同,如果调用中发生了异常并不会将异常传递,而只是返回true或false。因此程序中...
管中窥豹:从XEN爆火看B圈斗法日常
看不懂的项目直到现在(2022/10/16) XEN Crypto[1] 项目依然在 以太坊 Gas Tracker[2] 中依然位列第一,力压最大 DEX 和 NFT 交易平台。而此时距离 XEN 发布...
智能合约审计-整数溢出
描述:变量在参与运算的过程中,运算结果超出了变量类型所能表示的范围,导致实际存储的计算结果出错 核心问题:非预期的整数溢出将导致智能合约运行出错,...
智能合约审计-时间操纵
描述:以太坊智能合约中使用block.timestamp来向合约提供当前区块的时间戳,并且这个变量通常被用于计算随机数、锁定资金等。但是区块的打包时间并不是系统设...
钥匙是对的,开门的是贼而已 — earning.fam 被黑分析
前言2022 年 10 月 15 日,以太坊链上收益协议 earning.farm 遭受攻击。通过简单分析,其原因主要在于合约内没有对闪电贷的来源操作者进行检查,导致了攻击的...
智能合约审计-访问控制漏洞
描述:合约没有设置合理的访问控制模型,以及没有对合约有效的校验导致访问控制漏洞的发生 核心问题:public的恶意使用(本次案例合约为例) 漏洞描述 智能合...