阿菜种菜的菜园子

摘要： 背景信息 2024 年 9月 3日，Penpie 合约遭受重入攻击，攻击者在重入阶段向合约添加流动性来冒充奖励金额，从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。 2024 年 5月，Penpie 平台新增了推出了无需许可的资产池功能，即允许 Pendle 上的用户可以在该平台上自建 阅读全文

摘要： 背景 OSN 是一种 fee on transfer 代币，会根据用户分红账户的余额对用户发放分红。攻击者利用漏洞增发分红账户的余额，随后触发分红机制完成获利。 OSN：https://bscscan.com/address/0x810f4c6ae97bcc66da5ae6383cc31bd3670 阅读全文

摘要： 背景介绍 2024 年 7 月 18 日，WazirXIndia 遭遇黑客攻击，损失约 2.35 亿美元。本次攻击是由于 ETH 上的 GnosisSafe 合约的 owner 私钥和 3 个多签钱包私钥泄露造成的。攻击者劫持了多重签名钱包的 implement 合约，然后直接转移钱包持有的资产。 阅读全文

摘要： 背景信息 2024 年 7 月 16日，Li.Fi 协议遭受黑客攻击，漏洞成因是钻石协议中 diamond 合约新添加的 facet 合约没有对参数进行检查，导致 call 函数任意执行。且 diamond 合约拥有用户的 approve，所以攻击者可以构造恶意参数对用户资金进行转移。 攻击交易ht 阅读全文

摘要： 背景介绍 2024 年 7 月 12 日，DoughFina 协议遭受了黑客攻击，造成本次攻击的主要原因是 ConnectorDeleverageParaswap 合约没有对输入参数进行检查，且该合约为 DSA 合约的 owner。攻击者可以构造恶意参数窃取 DSA 合约的资金。 攻击交易 http 阅读全文

摘要： 前言 最近在了解零知识证明方面的内容，这方面的内容确实不好入门也不好掌握，在了解了一些基础的概念以后，决定选择一个应用了零知识证明的项目来进行进一步的学习。最终选择了 Tornado Cash 这个项目，因为它著名且精致，适合入门的同学进行学习。 学习 Tornado Cash 项目，涉及以下方面： 阅读全文

摘要： 在本篇文章中，我将通过一个攻击事件引出 Reflection Token 攻击事件的一个通用分析思路。 关于 Reflection Token 的其他案例分析，可以参考BEVO代币攻击事件分析及复现一文。 TomInu 攻击事件 TomInu Token 是一个反射型代币 reflection to 阅读全文

摘要： Hundred Finance 背景知识 Hundred Finance 是 fork Compound 的一个借贷项目，在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子，因为发起攻击的前提是池子处于 empty 的状态（发行的 hToken 数量为 0）。 阅读全文

摘要： # 抽象账户是什么 抽象账户（也有叫合约钱包）是 EIP-4337 提案提出的一个标准。简单来说就是通过智能合约来实现一个“账户（account）”，在合约中自行实现签名验证的逻辑。这样，就使得该合约拥有了“签发交易”的能力。通过抽象账户签发的“交易”我们叫做用户操作（UserOperation，简 阅读全文

摘要： 前言 BEVO代币是一种Reflection Token（反射型代币），并且拥有通缩的特性。关于Reflection Token更为详细的说明可参考这篇文章。然后目前浏览到的很多分析报告没有指出其漏洞产生的真正原因，所以就自己试着去做一下分析吧。 总结性的分析思路可以参考这篇文章：Reflectio 阅读全文