阿菜种菜的菜园子

摘要： 背景 20260109，ETH 链上的 Truebit Protocol 遭受了黑客攻击，损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷，购买大量 TRU 代币时会因为 0.6.10 版本没有防溢出机制而发生上溢出得到 0 值，使得攻击者可以以 阅读全文

摘要： 背景 FPC 是 BPE-20 项目，实现了复杂的交易机制，包括买卖手续费、流动性池燃烧机制、限制交易频率、限制交易数量等功能。漏洞产生的原因是当用户卖出代币时，合约会从流动性池中燃烧代币（而非从卖出者余额中燃烧），导致池子中 FPC 代币数量减少，价格抬高。 项目方应该是为了加上流动性池燃烧机制， 阅读全文

摘要： 项目背景 Aave 是一个去中心化借贷协议：用户可以存入资产赚取利息，也可以将资产作为抵押品借出其他资产，利率由市场供需自动调节，当抵押品价值不足时通过清算保护存款人。 Aave 在 DeFi 借贷市场中占据了 59% 的市场份额，并持有 DeFi 中 61% 的活跃借款规模。该协议今年还产生了 8 阅读全文

摘要： 背景信息 20251217，Yearn 距离上次被攻击不到一个月，又被攻击了。这次被攻击的是自动化收益优化金库 yTUSD。攻击的原因是因为 yTUSD 协议错误配置了相关的衍生品代币地址，导致攻击者可以通过该代币操纵 share 价格，套取超额的 yTUSD 代币。 Exploit TX：http 阅读全文

摘要： 背景信息 20251205，@USPD_io 项目由于部署 ERC1967Proxy 合约时没有执行初始化函数，被黑客抢先进行初始化获取了管理员和升级权限，在时机成熟后利用合约的特权铸造大量 USPD 进行获利，获利金额高达 1M USD。 Alert：https://x.com/USPD_io/s 阅读全文

摘要： 背景介绍 DRLVaultV3 就是一个基于 USDC 的 Uniswap V3 [WETH, USDC] 流动性收益协议：用户只需要存 USDC 和取 USDC，项目方（operator）负责所有添加流动性、调仓、收手续费的复杂操作，最终收益和本金都以 USDC 形式归用户所有。 造成本次事件的原 阅读全文

摘要： 20251123，攻击者利用 CATERC20 合约中签名验证过程中没有检查非零地址签名的漏洞，调用 registerChain 函数设置了其他链的代币合约。使得跨链代币增发，抛售代币进行获利。 Hacker：https://bscscan.com/txs?a=0xb13A503dA5f368E48 阅读全文

摘要： 攻击背景介绍 2025.11.03，Balancer V2 的 可组合稳定池（Composable Stable Pools）遭到了黑客攻击，攻击者首先通过 batchSwap 操作用 BPT 兑换出大量 WETH 和 osETH（大幅度移除 Pool 中的流动性），然后通过精度丢失问题减少 Poo 阅读全文

摘要： 攻击背景介绍 2023.08.27（没错是 2023 不是 2025），Balancer V2 的稳定币池遭到了黑客攻击，导致多条链上价值约 368k 美元的资产被盗。黑客利用 rounding down（精度丢失）问题操纵 bb-a-USDC 的价格，从稳定币池中兑换出大量资产。 攻击交易之一：h 阅读全文

摘要： 背景信息 Alert：https://x.com/TenArmorAlert/status/1968502320645177731 TX：https://app.blocksec.com/explorer/tx/bsc/0xc2066e0dff1a8a042057387d7356ad7ced76ab 阅读全文