摘要: 背景 在 EVM 生态上,存在各式各样的 ERC20 代币,因其实现方式有着极高的自由度,也催生了花样繁多的恶意代币。这些恶意代币通常会在代码中实现一些恶意的逻辑(禁止用户卖出,特权铸造或销毁等),其目的就是骗取用户买入后把用户的钱卷走。 诶!为了解决这个情况,Solana 官方提供了官方的代币模板 阅读全文
posted @ 2024-10-11 23:54 ACai_sec 阅读(127) 评论(0) 推荐(0) 编辑
摘要: 背景信息 2024 年 5 月 6 日,SATURN 代币遭受价格操控攻击,损失 15 BNB。攻击发生的原因是由于 SATURN 代币的代币通缩机制设计不合理,使得攻击者可以通过燃烧池子中的 SATURN 代币来操控价格完成获利。 项目社媒:https://x.com/Saturn_POM 社媒告 阅读全文
posted @ 2024-09-28 18:24 ACai_sec 阅读(266) 评论(0) 推荐(0) 编辑
摘要: 背景信息 2024 年 9月 3日,Penpie 合约遭受重入攻击,攻击者在重入阶段向合约添加流动性来冒充奖励金额,从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。 2024 年 5月,Penpie 平台新增了推出了无需许可的资产池功能,即允许 Pendle 上的用户可以在该平台上自建 阅读全文
posted @ 2024-09-05 23:24 ACai_sec 阅读(375) 评论(0) 推荐(2) 编辑
摘要: 背景 OSN 是一种 fee on transfer 代币,会根据用户分红账户的余额对用户发放分红。攻击者利用漏洞增发分红账户的余额,随后触发分红机制完成获利。 OSN:https://bscscan.com/address/0x810f4c6ae97bcc66da5ae6383cc31bd3670 阅读全文
posted @ 2024-08-30 23:30 ACai_sec 阅读(237) 评论(0) 推荐(0) 编辑
摘要: 背景介绍 2024 年 7 月 18 日,WazirXIndia 遭遇黑客攻击,损失约 2.35 亿美元。本次攻击是由于 ETH 上的 GnosisSafe 合约的 owner 私钥和 3 个多签钱包私钥泄露造成的。攻击者劫持了多重签名钱包的 implement 合约,然后直接转移钱包持有的资产。 阅读全文
posted @ 2024-07-19 00:46 ACai_sec 阅读(89) 评论(5) 推荐(0) 编辑
摘要: 背景信息 2024 年 7 月 16日,Li.Fi 协议遭受黑客攻击,漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查,导致 call 函数任意执行。且 diamond 合约拥有用户的 approve,所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交易ht 阅读全文
posted @ 2024-07-18 21:02 ACai_sec 阅读(185) 评论(0) 推荐(0) 编辑
摘要: 背景介绍 2024 年 7 月 12 日,DoughFina 协议遭受了黑客攻击,造成本次攻击的主要原因是 ConnectorDeleverageParaswap 合约没有对输入参数进行检查,且该合约为 DSA 合约的 owner。攻击者可以构造恶意参数窃取 DSA 合约的资金。 攻击交易 http 阅读全文
posted @ 2024-07-15 21:42 ACai_sec 阅读(275) 评论(0) 推荐(1) 编辑
摘要: 前言 最近在了解零知识证明方面的内容,这方面的内容确实不好入门也不好掌握,在了解了一些基础的概念以后,决定选择一个应用了零知识证明的项目来进行进一步的学习。最终选择了 Tornado Cash 这个项目,因为它著名且精致,适合入门的同学进行学习。 学习 Tornado Cash 项目,涉及以下方面: 阅读全文
posted @ 2024-05-09 18:48 ACai_sec 阅读(626) 评论(0) 推荐(0) 编辑
摘要: 在本篇文章中,我将通过一个攻击事件引出 Reflection Token 攻击事件的一个通用分析思路。 关于 Reflection Token 的其他案例分析,可以参考BEVO代币攻击事件分析及复现一文。 TomInu 攻击事件 TomInu Token 是一个反射型代币 reflection to 阅读全文
posted @ 2023-12-06 17:01 ACai_sec 阅读(389) 评论(6) 推荐(2) 编辑
摘要: Hundred Finance 背景知识 Hundred Finance 是 fork Compound 的一个借贷项目,在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子,因为发起攻击的前提是池子处于 empty 的状态(发行的 hToken 数量为 0)。 阅读全文
posted @ 2023-11-05 14:24 ACai_sec 阅读(660) 评论(0) 推荐(0) 编辑