知道创宇区块链安全实验室｜bHOME 重入攻击事件分析

最新推荐文章于 2024-07-24 10:35:36 发布

「已注销」

最新推荐文章于 2024-07-24 10:35:36 发布

阅读量259

点赞数

文章标签：安全区块链

本文链接：https://blog.csdn.net/SierraW/article/details/123377626

版权

// 前言

北京时间 3 月 5 日，知道创宇区块链安全实验室监测到 BaconProtocol 遭受黑客攻击损失约 958,166 美元，本次攻击利用重入漏洞，并凭借闪电贷扩大收益额。目前攻击者地址还没有被加入 USDC 的黑名单中。

// 分析

攻击事件如下图所示，该次攻击事件的问题点在于lend()函数，攻击者利用该函数进行重入攻击。

在这里插入图片描述

2.1 基础信息

攻击合约：
0x580cac65c2620d194371ef29eb887a7d8dcc91bf

攻击者地址：
0x7c42f2a7d9ad01294ecef9be1e38272c84607593

攻击 tx：
0x7d2296bcb936aa5e2397ddf8ccba59f54a178c3901666b49291d880369dbcf31

漏洞合约：
0x781ad73f140815763d9A4D4752DAf9203361D07D

2.2 流程

攻击者通过 Uniswap V2 闪电贷借出 6,360,000 USDC。
用闪电贷借出的 6,360,000 USDC 分成 3 份，去 bHOME 中进行重入攻击 2 次调用

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
知道创宇区块链安全实验室｜bHOME 重入攻击事件分析

BaconProtocol遭受黑客攻击损失约958,166美元，黑客利用重入漏洞，并凭借闪电贷扩大收益额。
复制链接

扫一扫

知道创宇区块链安全风险白皮书.pdf

08-15

知道创宇区块链安全风险白皮书用Java

区块链黑客第一讲:重入攻击

weixin_52628792的博客

10-29

1774

区块链骇客专栏第一章，智能合约安全审计必练！

参与评论您还未登录，请先登录后发表或查看评论

知道创宇发布区块链安全整体解决方案.pdf

08-15

#资源达人分享计划#

【知道创宇404实验室】2018年网络空间安全报告

01-16

2018年网络空间安全事件详细解读，内容涉及区块链分析、漏洞分析以及行业安全问题分析

2018上半年区块链安全报告(知道创宇、腾讯安全联合实验室)

02-01

区块链安全正受到越来越多的关注，除了广大用户特别关心的会...基于此，腾讯安全联合实验室联合知道创宇，梳理了2018 年上半年围绕区块链爆发的典型安全事件，并给出防御措施，希望尽可能帮助用户避开区块链的“雷区”

Lianwei 安全周报|2024.07.22

联蔚盘云的博客

07-22

752

新的一周又开始了，以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考

最新发布

lupai的博客

07-24

298

综上所述，构建更加稳固和安全的网络环境需要政府、企业和用户共同努力，从政策、技术、用户行为等多个方面入手，形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程，需要从多个方面入手，包括政策、技术、用户行为等多个层面。建立完善的应急响应机制，制定应急预案和演练计划，提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新，推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育，提高用户的网络安全意识和防范能力。

网络战时代的国家安全：策略、技术和国际合作

2301_79955948的博客

07-24

934

网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。

ForCloud全栈安全体验,一站式云安全托管试用开启全能高效攻防

亚信安全官方账号的博客

07-19

573

一站式云安全托管限时试用开启全能高效攻防

HDShredder 7 企业版案例分享: 依照国际权威标准，安全清除企业数据

sanyuan7783的博客

07-24

931

符合国际权威标准软件操作符合多种主流国际权威标准，包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST，支持擦除单个分区和区域，并可自由定制擦除模式。对于“Clear”清除级别，软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别，则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书，包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。

简析漏洞生命周期管理的价值与关键要求

XRY_XIAO的博客

07-22

974

简析漏洞生命周期管理的价值与关键要求

防火墙--内容安全

banliyaoguai的博客

07-20

1189

内容安全是指对互联网上的内容进行监测、筛选和管理，以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID：区分不同的签名对象：服务器，客户端。一般我们将发起连接的设备角色认定为客户端，响应连接并提供服务的角色认定为服务器。严重性：该行为一旦爆发之后，对我们网络系统的影响程度的评级协议/应用程序：这种攻击所承载的协议或者应用。

服务攻防-框架安全（漏洞复现）

m0_74402888的博客

07-21

540

Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315。运行dockers容器。

安全防御：双机热备

AXDRXS的博客

07-19

1411

因为防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时间的业务中断.

探究大语言模型（LLM）漏洞和安全优秀实践

java_cjkl的博客

07-21

1063

你可能已听说过LLM强势亮相，至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练，可以执行各种各样的语言任务：翻译、文本生成和问题回答等。有几个LLM家族和架构，最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能，但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程，这种类型的集成特有的新漏洞随之出现。

构建自主可控的工业操作系统，筑牢我国工业安全堡垒

Kyland2020的博客

07-22

329

鸿道(Intewell)工业操作系统自推出以来，屡获国内国际权威认可，其功能和性能可以替代VxWorks操作系统，并通过工信部电子五所源代码100%自主可控测评，在加拿大宇航局全球嵌入式操作系统分析评比中位列第三，获得2019年首届中国工业互联网大赛一等奖，并与国际工业巨头西门子工业大脑技术共同获得联合国工业发展组织2020年首届全球工业智能领域“湛卢奖”技术创新的荣誉。正如华为推出的鸿蒙操作系统为我国的移动互联网保驾护航，东土的鸿道操作系统为我国的工业互联网提供坚实保障，两者并驾齐驱。

游戏外挂的技术实现与五年脚本开发经验分享

m0_62996549的博客

07-19

707

引言：在数字娱乐的浪潮中，电子游戏成为许多人生活中不可或缺的一部分。然而，随着游戏的普及，一些玩家为了追求更高效的游戏体验或不正当竞争优势，开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员，我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法，并分享我在脚本开发领域的经验。

防火墙内容安全综合实验

m0_74256660的博客

07-19

523

2，我们需要针对办公区用户进行上网行为管理，要求进行URL过滤，要求在上班时间仅能访问教育/科研类，搜索/门户类网站，以及一个www.example.com/working相关URL都可以访问。1，假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件，内网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护。3，通过DNS过滤，实现办公区仅能使用一个域名访问公网发HTTP服务器，另一个不行。

【Java安全】基础配置篇-01

jayq1的博客

07-19

1674

Java安全基础学习篇

客户端安全：跨站脚本攻击与防御策略

此话题由知道创宇的安全研究员Evi1m0提出，他是邪红色信息安全组织的创始人，他在多个平台分享过关于客户端安全的研究成果。首先，Evi1m0通过历史案例强调了客户端安全的重要性。例如，腾讯QQ群的XSS漏洞利用了群...