- 博客(85)
- 收藏
- 关注
RSS订阅原创 深入分析 Uniswap V3 流动性供应的数学原理
Uniswap 在今年 5 月上线了 V3 版本协议,与之前 V2 版本相比存在诸多差异。
2021-12-08 17:37:13
4031
原创 “我杀我自己?”—— MonoX.Finance安全事件分析
自动做市商协议 MonoX.Finance 遭黑客攻击,损失超 3100 万美元。
2021-12-03 14:07:39
1114
原创 又发闪电贷价格操纵攻击?—— welnance.finance事件分析
前言11月13日,知道创宇区块链安全实验室 监测到 BSC 上的 DeFi 协议 welnance.finance 遭遇闪电贷价格操控攻击。实验室第一时间对本次事件深入跟踪并进行分析。事件分析基础信息交易哈希:0xf7a9c59953763a57f412b2e45455e70192b44356c602f7c79ddbfa9cb05f440b攻击合约:0x96e28c2ffa1bbf45929051289ecfa8aa8039e23f攻击者地址:0xa6516b0fc4e98a942decd6ef
2021-11-18 14:58:43
3985
原创 最近以太坊上的 “假币” 营销套路解析
前言如果 Meme 概念的正面意义是群体性的病毒式传播优势、社区(群)化、草根共识的体现,那它在加密市场的负面意义则意味着投机、以小博大的赌性,甚至是骗局。近段时间,靠着广告、蹭名人名币等营销策略,Meme 概念一直被炒作。而与此同时,知道创宇区块链安全实验室 的安全研究人员发现了一个神奇的 “Hello” 项目。项目营销策略了解区块链的对 etherscan 都不会陌生,它提供了简单方便的区块链浏览器,可以观测链上的实时交易情况等众多信息。下面,我们来看下 “Hello” 项目在 ethersc
2021-11-17 15:10:39
2275
原创 Synapse 跨链桥攻击事件分析
前言北京时间 11 月 7 日,知道创宇区块链安全实验室 监测到跨链协议 Synapse Protocol 推出的资产跨链桥被攻击,攻击者设法降低了 nUSD Metapool 虚拟价格并从中获利约 800 万美元。知道创宇区块链安全实验室 第一时间对本次事件深入跟踪并进行分析。分析攻击事件如下图所示,该次攻击事件的问题点并不在 Synapse 跨链桥本身,而是在 Saddle 开发的 Metapool 合约上。在具体分析攻击事件之前,我们先来介绍一下什么是 Metapool。Curve 开发
2021-11-12 14:25:11
1217
原创 从 EIP-1967 再谈 “鱿鱼游戏SQUID” 安全风险
前言随着电视剧的爆火,鱿鱼游戏的热度也逐渐攀升,而 SQUID 在 10 月 21 日上线后,价格幅度变化巨大,但是现在的它真的安全吗?Squid 从代码上来看其依赖于以太坊提案 EIP-1967,知道创宇区块链安全实验室 将从 EIP-1967 提案再谈 Squid 的安全风险。SQUID 价格从 0.08 刀一路扶摇直上九万里,飙升到 3000 美元。然而令人唏嘘的是,价格随即闪崩,5 分钟从 3000 跌至 0.0007,究其原因,合约开发者在短短的几分钟内利用 7000w 枚 Squid 砸盘
2021-11-11 14:58:59
4549
原创 安全审计报告新封面来袭
自 2017 年以来,知道创宇区块链安全实验室 便推出了安全审计服务,针对区块链智能合约源码中的至少 27 项基础检查项进行深度审计,数以亿计,累计帮助企业、项目方发现 6000 多个合约漏洞问题,规避了因合约安全问题导致的财产损失,为各类去中心化应用保驾护航。时隔四年,实验室不断的完善优化,于 10 月 12 日更新上线了安全审计报告新封面,自此之后通过审计的报告也都将采用新封面。新版安全审计报告封面如下图所示。智能合约审计报告区块链安全审计报告在新版的审计报告封面中,界面设计更加精简、
2021-11-02 16:30:32
539
原创 十月安全事件总结与回顾
/ 前言10 月以来各类安全事件依然多发且主要集中在月末,从 Defi 安全角度看安全形势不容乐观,黑客攻击带来的损失最大多达 1.3 亿美元,令人震惊。知道创宇区块链安全实验室 总结了 10 月 发生的各类安全事件,并就攻击手法和暴露出的问题进行探讨。/ 10月安全事件盘点以下是10月 发生的各领域的安全事件:10月2日BSC 链上 DeFI 协议 AutoShark Finance 遭遇闪电贷攻击,其挖矿兑换功能存在漏洞,被黑客攻击后损失约 58 万美元。10月4日去中心化借贷协议 Co
2021-11-01 15:52:39
213
原创 Cream Finance 攻击事件分析
前言北京时间 10 月 27 日晚,以太坊 DeFi 协议 Cream Finance 再次遭到攻击,损失高达 1.3 亿美元。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。分析基础信息攻击者:0x24354D31bC9D90F62FE5f2454709C32049cf866b攻击 tx:0x0fe2542079644e107cbf13690eb9c2c65963ccb79089ff96bfaf8dced2331c92攻击合约 1:0x961D2B694D9097f35cfFfa363
2021-10-29 11:37:32
534
原创 区块链威胁情报中心,助力“识破”闪电贷攻击
活跃的闪电贷:自今年年初以来,去中心化金融(DeFi)生态系统已经迅速发展到锁定总价值超过 120 亿美元。随着这种指数级的增长,恶意行为者操纵和攻击脆弱的 DeFi 协议的动机增加了,并且这通常以牺牲普通用户为代价。闪电贷区别于传统金融模式下,其实是一种创新金融工具,可实现无抵押贷款,但要求在同一个区块内还款,否则交易回滚。闪电贷之所以广受关注在于,其可以使贷款者在无需付出任何努力或代价的情况下秒变富豪。当然,庞大的资金量也预示着强大的市场操控潜力。闪电贷攻击:闪电攻击是指利用闪电贷和其他漏洞结
2021-10-26 15:08:30
314
原创 PancakeHunny攻击事件分析
前言北京时间 10 月 20 日晚,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 PancakeHunny 的 WBNB/TUSD 池遭遇闪电贷攻击,HUNNY 代币价格闪崩。实验室第一时间跟踪本次事件并分析。分析攻击者信息攻击者:0x731821D13414487ea46f1b485cFB267019917689攻击合约:0xa5312796DC20ADd51E41a4034bF1Ed481b708e71第一次攻击tx:0x1b698231965b72f64d55
2021-10-22 14:28:46
433
原创 “单一价值“——Indexed Finance闪电贷安全事件分析
前言10月15日,知道创宇区块链安全实验室 监测到 以太坊上的 DeFi 协议 Indexed Finance 遭遇闪电贷袭击,损失超1600万美元。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。攻击过程简述分析攻击交易:0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa1.首先使用闪电贷通过 Uniswap 和 ShushiSwap 获取启动资金2.通过借贷的 AAVE/COMP/CRV/MKR/SNX
2021-10-18 11:23:12
2649
原创 有趣的智能合约蜜罐分析(上)
智能合约蜜罐概述研究安全的读者应该都清楚,蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击。蜜罐设计的初衷就是让黑客来入侵系统,并借此收集证据,也隐藏了真实环境。智能合约中也有蜜罐,但它不同于我们一般听到的蜜罐。在本文中,知道创宇区块链安全实验室 主要针对智能合约蜜罐(Smart Contract Honeypot)进行分析。智能合约蜜罐的作用更像是钓鱼,通过引诱攻击者转账到蜜罐合约。相比于普通钓鱼行为面对一般用户,智能合约蜜罐的钓鱼行为针
2021-10-15 15:49:15
1241
原创 以太坊 Input Data 解析
前言前段时间,Poly Network 被盗事件的一个小插曲,一地址向黑客地址转账在 input data 中告知其 USDT 已被冻结,不要使用 USDT,黑客知晓后向该地址转账 13.37 ETH。事后很多人便通过 input Data 在区块链上“聊天”向黑客“索要”虚拟货币,那么我们经常在区块链浏览器中看到的 input Data 到底是什么?知道创宇区块链安全实验室 为您解答。Input data在以太坊协议中,当交易(transaction)为合约创建时,input data 是账户初
2021-10-13 15:25:22
4159
原创 XSURGE 攻击事件的全面梳理
前言8 月 17 日,BSC 链上的 XSURGE 协议遭到闪电贷攻击,损失超过 500 万美元。对此,知道创宇区块链安全实验室 对攻击流程和代码细节进行了全盘梳理。全盘梳理基础信息-攻击tx:0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2-攻击合约:0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46-SurgeToken:0xE1E1Aa58983F6b8eE8E4eC
2021-10-09 16:58:48
260
原创 9 月安全事件回顾
前言从 Defi 安全角度来看 9 月安全事件相较于较 8 月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。知道创宇区块链安全实验室 总结了 9 月发生的各类安全事件,并就攻击手法和暴露出的问题进行了梳理。9 月安全事件盘点以下是 9 月发生的各领域的安全事件:9 月 4 日NFT 赛马项目 DeRac 针对 DAO 公共买家在未来解锁领取代币的合约 DAO Maker分发系统被攻击。其漏洞原理是:Vesting 合约 未进行 init 未初始化保护,从而让黑
2021-10-08 14:39:07
1068
原创 深入理解 EVM 存储机制及安全问题
前言EVM 是一个轻量级的虚拟机,其设计初衷就是提供一种可以忽略硬件、操作系统等兼容性的虚拟的执行环境供以太坊网络运行智能合约。简单来说 EVM 是一个完全独立的沙盒,在 EVM 中运行的代码是无法访问网络、文件系统和其他进程的,以此来避免错误的代码能让智能合约毁灭或者影响外部环境。在此基础上,知道创宇区块链安全实验室 带大家一起深入理解 EVM 的存储机制和安全问题。EVM存储结构可以看到 EVM 存储数据分为两类:存储在 code 和 storage 里的数据是 non-volatile
2021-09-30 14:51:58
1159
1
原创 以区块链行骗,慈善造假,曝光“勇攀团队”!
随着区块链行业内容的热度不断提高,关注其行业的用户群体数量也不断上升,难免有一些不法分子“借题发挥”。这些不法分子依靠炒作区块链的概念,通过对投资者灌输“高收益”、“稳定安全”、“受监管”等项目特点吸引投资者,煽动情绪,诱骗投资者进行投资,实则“羊入虎口”,承诺的项目种种优势均为“泡影”。近日,知道创宇区块链实验室 便发现了一个打着“区块链”名义的 CX 诈骗团队——“勇攀团队”。主要起因为“知道创宇区块链实验室”人员被区块链技术讨论群聊中的成员添加好友,后续被拉入该团队群聊。群聊内部充斥大量煽动投资
2021-09-26 15:53:43
804
原创 深入理解以太坊 P2P 网络设计
前言在设计公链时,节点与节点之间建立连接需要 P2P 协议,从而实现数据的同步,于此同时上层应用还需要封装一些通信逻辑,比如节点之间的区块同步、交易数据同步等。本篇文章将对 P2P 网络发展进行简单概述,同时将从源码角度对以太坊中的节点发现机制、分布式哈希表、节点查找、节点新增、节点移除等进行简单介绍,并对其 P2P 网络安全性设计进行简要分析。基础知识P2P网络P2P 网络不同于传统的 CS 结构,在 P2P 网络中每个节点既可以是客户端也可以是服务端,节点之间的通信协议一般直接通过 Socke
2021-09-24 14:49:58
937
原创 揭开闪电贷的神秘面纱
闪电贷最初为开发者设计,所以闪电贷业务只能由智能合约实现,虽然现在有些如 Furucombo 等平台已经省去了写代码的复杂流程,但是想要清楚理解闪电贷原理我们需要从底层代码开始。本文从技术角度带你了解到什么是闪电贷和闪电贷流程。什么是闪电贷闪电贷最早是由 Marble 协议引入的概念,当时是为了让用户可以在以太坊借用 Ether 和 ERC-20 代币,后来由 Aave、dYdX 等进行了普及。简单来说,闪电贷就是在一个区块交易中,同时完成借款和还款操作这两个操作,无需抵押任何资产,只需支付手续费即
2021-09-13 18:32:37
711
1
原创 不一样的智能合约安全视角——solidity逆向
前言近年来在区块链不断蓬勃、发展壮大的同时,区块链安全事件频频发生,黑客们的手法也在不断发生着变化,要想更加深入的了解各式各样的攻击背后的原理以及黑客攻击的逻辑,智能合约逆向工程必不可少。对此,知道创宇区块链安全实验室 进行了研究分析。通常我们所说的智能合约都是存在区块链上,可以被触发执行的一段程序代码,由于区块链上所有的数据都是公开透明的,所以合约的代码也应该是公开的。但实际上它公开的却是经过编译的 OPCODE,真正的源代码需要发布合约的人自己公开。当合约源代码没有被公开,而我们又想对其进行深
2021-09-07 17:47:37
624
原创 NFT与元宇宙
自2020年的“DeFi”(去中心化金融)在区块链世界掀起风波后,创新式的DeFi项目层出不穷,直接在区块链世界衍生了与传统金融场景类似,架构不同的去中心化金融业务。抛开是否符合金融合规的问题,区块链在过去一年的发展着实是突飞猛进。2021年5月,随着区块链市场步入“去泡沫期”,尝试鱼目混珠的项目也逐渐被市场区分的更加明显。在这个期间,出现了另外一个尝试复现DeFi热潮的赛道,即“NFT- Non-Fungible Token”(非同质化代币),同时区块链世界提出了另一个更为广阔的概念“元宇宙”,N
2021-09-03 15:24:16
723
原创 黑暗的八月:各类安全事件回顾
前言8 月份以来,各链上频频遭遇闪电贷攻击等黑客攻击事件,其中更是发生了被称为年度最大黑客事件的跨链协议 Poly Network 被攻击事件。知道创宇区块链安全实验室 总结了 8 月 发生的链上安全事件,并就攻击手法和暴露出的问题进行探讨。8月安全事件盘点以下是 8 月 发生的各领域的安全事件:8 月 4 日, 以太坊上的 DeFi 协议 Popsicle Finance 遭遇闪电贷袭击,漏洞原因在于 PLP 池合约对手续费奖励的计算存在缺陷,损失 2,070 万 美元;8 月 4 日,
2021-09-02 14:56:58
198
原创 Cream Finance 重入漏洞事件分析
前言8 月 30 日,知道创宇区块链安全实验室 监测到以太坊上的 DeFi 协议 Cream Finance 遭遇重入漏洞袭击,损失超 1800 万美元。实验室第一时间跟踪本次事件并分析。涉及对象攻击涉及合约地址:0x38c40427efbaae566407e4cde2a91947df0bd22b0x0ec306d7634314d35139d1df4a630d829475a125受害涉及合约地址:CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b
2021-09-01 16:39:13
386
原创 Dot Finance 闪电贷安全事件分析
前言8 月 25 日,知道创宇区块链安全实验室 监测到 BSC 链上的 DeFi 协议 Dot Finance 遭遇闪电贷袭击,价值跌落近 35%。实验室第一时间跟踪本次事件并分析。涉及对象黑客地址:0xDFD78a977c08221822F6699AD933869Da6d9720C攻击合约地址:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879受害合约地址:0x16fd050f05f8fc361cf9083aa3f624a2bf7e914d0xbfca3
2021-08-30 15:38:15
346
原创 XSURGE 闪电贷攻击事件分析
一.事件背景8 月 17 日,有消息爆出 BSC 上 DeFi 协议 XSURGE 遭到闪电贷攻击,被盗金额价值 500 万美金。知道创宇区块链安全实验室 迅速展开分析。二.攻击合约及交易攻击合约地址:0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46攻击交易链接:https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2三.事件复盘分析
2021-08-18 11:03:12
323
原创 Poly Network 跨链项目安全事件分析
一.背景2021 年 8 月 10 日晚,有消息称 Poly Network 跨链项目被攻击导致约 6 亿美金的损失,知道创宇区块链安全实验室 对该事件展开分析。二.攻击地址及交易事件一共使三条链:ETH、BSC、Polygon 上的资产收到了损失,由于攻击过程类似,这里挑选 BSC 链的攻击作为分析样本。被攻击合约:EthCrossChainManager:https://bscscan.com/address/0x7cea671dabfba880af6723bddd6b9f4caa15c87
2021-08-12 14:07:08
342
原创 Popsicle Finance 闪电贷攻击事件分析
前言北京时间 8 月 4 日上午,知道创宇区块链安全实验室 监测到以太坊上的 DeFi 协议 Popsicle Finance 遭遇闪电贷袭击,目前只有 Sorbetto Fragola 受到影响。实验室第一时间跟踪本次事件并分析。分析攻击者信息攻击tx:0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc攻击合约:0xdFb6faB7f4bc9512d5620e679E90D1C91C4EAdE6辅助攻击合
2021-08-05 11:04:40
439
原创 知道创宇区块链安全实验室|我们没有审计过 obetchat 项目
实验室没有为新加坡欧贝科技的obetchat 项目进行过公链安全审计,也从来没有收到该公司的审计服务需求。
2021-07-21 16:01:45
197
原创 竟然可以推导出私钥?Anyswap跨链桥被⿊分析
事件背景北京时间 2021 年 7 月 12 日凌晨 1 点,Anyswap 官方发推声称 Anyswap 多链路由 v3 版本遭到攻击,V3 跨链资金池受影响,损失约 240 万 USDC 和 551 万 MIM,Anyswap V1 和 V2 版本不受该攻击影响,跨链桥未受影响。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析:事件跟踪攻击时间:2021年7月10日晚8:00(UTC)攻击者地址:0x0aE1554860E51844B61AE20823eF1268C3949f7C攻
2021-07-12 16:00:08
364
原创 BSV网络遭受双花攻击预警
根据官网消息,近日 BSV 网络遭受恶意攻击,造成多个区块重组,攻击者借此进行了双花攻击。知道创宇区块链安全实验室 第一时间跟踪并预警:针对此次攻击事件,比特币协会表示:“已经意识到最近针对比特币的非法区块重组攻击#BitcoinSV恶意行为者的网络。我们对任何非法活动采取零容忍态度,并正在积极采取法律行动”。声明链接:https://bitcoinassociation.net/bitcoin-association-statement-zero-tolerance-for-illegal-atta
2021-07-12 10:49:28
460
原创 深入分析AMM恒定乘积模型的滑点与无常损失
恒定乘积做市商模型存在的滑点与无常损失饱受诟病,知道创宇区块链安全实验室 通过数学理论分析和数值模拟来理解该模型的滑点和无常损失的原理和过程。
2021-07-07 11:51:33
1870
原创 NFT:链中自有黄金屋
缘起于“谜恋猫”游戏的 NFT,经过佳士得拍卖事件的发酵,引来了越来越多的目光和讨论,但外界的认知大都停留在应用层面。知道创宇区块链安全实验室 通过具象化的概念分解和实践演示,带你多角度地进入 NFT 的世界。前言2021 年 3 月 11 日,佳士得历史上首次拍卖以 NFT 形式展现的纯数字艺术品,这幅底价 100 美元的作品最终以 6934.6 万美元成交,一举成为在世艺术家成交作品第三高价。这一事件,将越来越多的目光吸引向 NFT 的世界。对于区块链行业外的人士而言,NFT 还是一个新鲜事物。但
2021-07-06 16:53:04
264
原创 Dfinity 神经系统如何进行生态治理
Dfinity,中文名蒂芙尼,该项目始于 2015 年,旨在提供去中心化的云服务,经过长达 6 年的开发,于 2021 年 5 月正式上线,同时开启巨额空投活动,吸引了币圈无数双眼睛的关注。而 Dfinity 因其远大的愿景,也被大家期待为区块链的第三次伟大创新。Dfinity 致力于成为一个去中心化无限扩容的智能分布式云计算系统,与以太坊兼容,旨在实现大部分软件在无服务器的情况下就能在互联网上运行。所以看得出来,Dfinity 要做的事情很宏大,一是要打破互联网巨头带来的信息孤岛效应,打破垄断;二是改变
2021-07-06 16:35:03
162
原创 chia 的 p 图过程详解及优化攻略
仅仅两个⽉的时间,chia 全⽹算⼒就突破了 15EP,1p 算⼒单⽇收益也从最初的三十多个变成了零点⼏个。在这场激烈的博弈中,⼤家为了更快的⼊场,都想加快 p 图速度,⽽事实证明,较快的 p 图速度确实能获得更多收益。那么究竟什么是 p 图呢?⽽⼜如何才能更快的 p 图呢?本文带你⼀起来研究。准备工作chia 的 p 图过程⼗分漫⻓,根据不同的机器配置,需要消耗 6 个⼩时甚⾄10 多个⼩时,在这么⻓的时间, p 图都做了哪些⼯作呢?每次 P 盘开始时,都会⽣成⼀个随机主私钥,通过它可以派⽣出⼀个本
2021-07-06 16:16:18
2373
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人