慢雾科技
共 104 条资讯-
重建世界:The Sandbox 任意燃烧漏洞回顾
元宇宙系统的安全边界更广,上线前应该进行充分的安全审计,避免出现类似严重的问题。
-
“零元购” —— TreasureDAO NFT 交易市场漏洞分析
针对此类漏洞,慢雾安全团队建议在进行 ERC-721 标准的 NFT 转移前,需对传入的数量做好判断,避免再次出现此类问题。
-
大意失荆州 —— Paraluni 被黑分析
慢雾安全团队建议在进行 deposit 存款等敏感操作时对指定 pid 对应的池子代币与所传入的代币做好一致性的判断,并且在添加流动性等涉及 LP 代币数量变动的函数需添加重入锁的限制,避免再次出现此类问题。
-
故技重施 —— Hundred Finance 被黑分析
慢雾安全团队建议使用非 ERC20 标准的 token 合约时,要注意兼容性,合约记账应在代币转账之前做好记录,遵循 Checks-Effects-Interactions 规则,避免再次出现此类安全问题。
-
慢雾:OneRing Finance 被黑分析
本次攻击是由于在 MasterChefBaseStrategy 合约中的 getUSDBalanceFromUnderlyingBalance 函数实时储备量进行计算导致攻击者可以利用闪电贷制造巨大差值从而获利。
-
损失超 6.1 亿美元 —— Ronin Network 被黑分析
本次攻击事件主要原因在于 Sky Mavis 系统被入侵,以及 Axie DAO 白名单权限维护不当。
-
漏洞随笔:通过 Jet Protocol 任意提款漏洞浅谈 PDA 与 Anchor 账号验证
目前在 Solana 上发生过多起黑客攻击事件均与账号校验问题有关,慢雾安全团队提醒广大 Solana 开发者,注意对账号体系进行严密的审查。
-
慢雾:Rikkei Finance 被黑复现分析
本次攻击事件是由于 Rikkei Finance 项目中的 SimplePriceOracle 合约文件中的 setOracleData 函数缺少鉴权,可以被任意调用。
-
MetaMask 浏览器扩展钱包 Clickjacking 漏洞分析
MetaMask 浏览器扩展钱包 Clickjacking 漏洞复现
-
MetaMask 浏览器扩展钱包 demonic 漏洞分析
MetaMask 浏览器扩展钱包 demonic 漏洞复现
-
熊市新考验 —— XCarnival NFT 借贷协议漏洞分析
本次漏洞的核心在于借款的时候,没有进行订单中 NFT 是否被提走的状态的判断,导致攻击者可以在把 NFT 提走之后再利用之前生成的订单来借款而无需还款,以此来获利。
-
Premint 恶意代码注入攻击细节分析
本文来自慢雾区伙伴 Scam Sniffer 的投稿
-
慢雾:Solana 公链大规模盗币事件的分析
2022 年 8 月 3 日,Solana 公链上发生大规模盗币的事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币。
-
慢雾:Solana 公链大规模盗币事件的分析(续)
2022 年 8 月 3 日,Solana 公链上发生大规模盗币事件,大量用户在不知情的情况下被转移 SOL 和 SPL 代币。
-
Celer Network cBridge 跨链桥事故真相:BGP 劫持
针对 Celer Network 进行的一次有目的性的 BGP Hijacking 攻击。
-
揭秘以太坊 Vanity 生成器 Profanity 私钥破解漏洞
我们总结了 Profanity 的漏洞成因,同时也分析了对这类随机性问题的破解可能性。
-
慢雾:BNB CrossChain Bridge 被黑简析
2022 年 10 月 7 日,BNB Chian 跨链桥 BSC Token Hub 遭遇攻击。黑客利用跨链桥漏洞分两次共获取 200 万枚 BNB,超 5.7 亿美元。
-
复盘 | OmniX NFT 平台被黑分析
慢雾安全团队建议在关键函数采用重入锁来防止重入问题。
-
被推倒的多米诺骨牌 —— VTF 代币被黑分析
慢雾安全团队建议在进行设计代币分红模式时应充分考虑代币流动性与安全性之间的平衡。
-
复盘 | UvToken 项目被黑分析
慢雾安全团队提醒在使用外部调用合约时应注意被调用合约的地址不能是可控的,最好使用白名单来限制外部调用合约地址以及外部调用目标函数,或者对用户传入参数的合法性进行检查。