区块链安全
文章平均质量分 80
零时科技
这个作者很懒,什么都没留下…
展开
-
零时科技 || SumerMoney攻击事件分析
这起攻击事件涉及攻击者利用SumerMoney借贷协议的重入漏洞,结合闪电贷策略,从Balancer借款并通过复杂合约操作最终盗取约35万美金。原创 2024-04-16 15:43:15 · 788 阅读 · 0 评论 -
零时科技 || 处于“自救期”的SushiSwap是如何被黑客攻击的?
目前SushiSwap 发布 RouteProcessor2 漏洞更新报告,称开发团队正在识别所有受 RouteProcessor2 漏洞影响的地址,并正在进行多项通过白帽回收挽救资金的行动原创 2023-04-10 15:38:53 · 126 阅读 · 0 评论 -
零时科技 || Euler Finance 1.95亿美元黑客事件分析
此次攻击是由于EToken合约中donateToReserves函数缺失清算检查逻辑,攻击者能够恶意将借贷的资金处于清算状态下而不触发清算,使得攻击者能够无需向合约转移清算资金而触发清算从而获利。原创 2023-04-03 15:41:36 · 124 阅读 · 0 评论 -
零时科技 || 攻击者获利约302万美元,Orion Protocol被攻击事件分析
BSC链与ETH链上Orion Protocol受到黑客攻击,攻击者获利约300万美元,攻击者地址为0x837962b686fd5a407fb4e5f92e8be86a230484bd,被盗资金已转移至Tornado.Cash混币平台。零时科技安全团队及时对此安全事件进行分析。原创 2023-02-11 20:54:22 · 125 阅读 · 0 评论 -
零时科技 || 损失8800万美元,加密协议BonqDAO被攻击事件分析
polygon链上去中心化借贷协议BONQ受到黑客攻击,攻击者获得了1.13亿个WALTB和9865万个BEUR,攻击者地址为0xcAcf2D28B2A5309e099f0C6e8C60Ec3dDf656642,攻击者将部分BEUR售出获得USDC通过跨链转移至ETH链。零时科技安全团队及时对此安全事件进行分析。原创 2023-02-07 20:18:22 · 156 阅读 · 0 评论 -
零时科技 || TrustSwap 攻击事件分析
本次攻击是由于攻击者能够通过执行锁定代币获得ID来绕过检测,将流动性转移至攻击者控制的V3交易对中,并且新的交易对创建的池子价格由攻击者控制,资金迁移后剩余资金转移给用户原创 2022-11-02 21:34:38 · 1152 阅读 · 0 评论 -
零时科技 || Victor the Fortune攻击事件分析
此次攻击是由于合约中的计算奖励函数的算法只与用户地址余额和时间差有关,攻击者通过先调用转账获得用户初始时间,之后调用获得奖励的函数,通过这两个函数调用过程中的时间差计算获得奖励。通过多次转账计算获得奖励使得资金累加,最后将池子中代币几乎掏空。安全建议建议对于计算获得奖励时设置最小时间差,避免攻击者通过短时间多次调用函数获利。建议项目方上线前进行多次审计,避免出现审计步骤缺失。原创 2022-11-02 20:08:22 · 335 阅读 · 0 评论 -
零时 || 数字钱包该如何进行安全审计?
无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试原创 2022-10-26 18:20:05 · 2783 阅读 · 0 评论 -
零时 || 数字钱包面临的安全风险有哪些?
对于广大用户来说,数字钱包的安全也意味着财富的安全,所以我们在选择数字钱包时一定要慎重对待,不可掉以轻心。原创 2022-10-24 17:34:43 · 467 阅读 · 0 评论 -
零时科技 || BEGO Token 攻击事件分析
此次攻击主要是因为对于函数签名判断不当造成的,函数签名可以由用户自行传入并且没有考虑到签名值为空时不会执行for循环,使得攻击者可以通过不传入r,s,v的值绕过判断,并且在mint函数中没有对于铸币的数量进行限制,使得攻击者可以一次铸造大量代币。安全建议建议添加对于签名值为空时的判断,避免通过空的签名绕过检验。建议项目方上线前进行多次审计,避免出现审计步骤缺失。原创 2022-10-20 22:03:50 · 935 阅读 · 0 评论 -
零时科技 || Earing Farm攻击事件分析
北京时间2022年10月15日,DeFi 投资工具 Earning.Farm 遭受闪电贷攻击,黑客获利超 34 万美元,攻击者地址为0xdf31f4c8dc9548eb4c416af26dc396a25fde4d5f,零时科技安全团队及时对此安全事件进行分析。原创 2022-10-20 20:59:08 · 619 阅读 · 0 评论 -
零时科技 || Rabby Swap合约遭受攻击事件详解
攻击事件发生原因是由于合约代码风险和授权问题所导致原创 2022-10-14 17:30:58 · 626 阅读 · 0 评论 -
零时科技 || TempleDAO攻击事件分析
此次攻击核心主要是新合约在与旧合约同步时没有对于传入的合约地址进行判断。使得攻击者能够传入自己控制的地址进而绕过旧合约中对于质押的判断,直接在新的合约中获得想要的质押数量,之后将质押取出获利。安全建议建议对方法传参地址进行严格判断建议项目方上线前进行多次审计,避免出现审计步骤缺失。原创 2022-10-12 18:00:22 · 583 阅读 · 0 评论 -
零时科技 || BXH攻击事件分析
BXH合约遭到黑客攻击,损失超40,085 BUSD, 零时科技安全团队及时对此安全事件进行分析。原创 2022-09-30 10:56:08 · 1100 阅读 · 0 评论 -
零时科技 | Discover 闪电贷攻击事件分析
此次攻击事件主要通过闪电贷资金控制价格,导致兑换数量波动,对于此类安全事件,建议不要使用外部可控的资金数量来获取价格,避免闪电贷攻击影响官方及用户资产......原创 2022-06-08 09:50:36 · 1079 阅读 · 0 评论 -
WEB3 安全系列 || 你今天被‘钓鱼“了么,Web3被攻击及损失案例分析
近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。原创 2022-06-02 11:01:09 · 417 阅读 · 0 评论 -
零时科技 | FEGtoken遭受攻击,损失超130万美元事件分析
北京时间 2022年5月16日 BNB Chain 和 Ethereum 链上 FEGtoken 遭到闪电贷攻击。损失资金价值超过130万美元。原创 2022-05-18 15:53:29 · 1289 阅读 · 0 评论 -
零时科技|如何在链上复现安全漏洞?
在链上复现漏洞时,需要明确上链的类型及可相关联的钱包。之后通过领取测试币,部署合约,发起交易,从而实现链上智能合约的测试。原创 2022-03-02 17:31:52 · 12148 阅读 · 0 评论 -
零时科技 | Titano Finance攻击事件分析
零时科技区块链安全情报平台监控到消息,北京时间2022年2月14日,Titano Finance遭到攻击原创 2022-02-16 15:14:01 · 2951 阅读 · 0 评论 -
GameFi火爆的背后,伴随着噩梦的开始
目前已经发现黑客正在通过社工的多种诈骗手段,来盗取用户的数字资产,例如伪造钱包域名,伪装成客服人员等诈骗手段原创 2021-12-14 13:55:28 · 672 阅读 · 0 评论 -
区块链安全100问 | 第八篇:智能合约自动化审计介绍
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言当前区原创 2021-08-23 17:40:58 · 4493 阅读 · 1 评论 -
区块链安全100问 | 第七篇:智能合约审计流程及审计内容
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言.原创 2021-08-16 13:45:15 · 5256 阅读 · 0 评论 -
Popsicle攻击事件复盘分析 | 零时科技
事件背景Popsicle Finance是专注于自动做市(AMM)流动性提供商(LP)的下一代跨链收益提高平台。旨在成为一个完全分散的平台,由其用户(ICE治理令牌的持有者)管理。ICE令牌将用于对协议更新,资产池包含,费用管理以及协议其他关键运营方面的提案进行投票。零时科技区块链安全情报平台监控到消息,北京时间2021年8月4日,Popsicle Finance官方推文称Sorbetto Fragola被攻击,零时科技安全团队及时对该安全事件进行复盘分析。事件分析攻击信息通过初..原创 2021-08-09 14:36:25 · 2159 阅读 · 0 评论 -
区块链安全100问 | 第六篇:智能合约面临的安全风险
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言原创 2021-08-04 17:01:59 · 1897 阅读 · 0 评论 -
区块链安全100问 | 第五篇:黑客通过这些方法盗取数字资产,看看你是否中招?
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言当原创 2021-08-03 14:35:05 · 1394 阅读 · 3 评论 -
区块链安全100问 | 第四篇:保护数字钱包安全,防止资产被盗
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言原创 2021-07-29 17:48:28 · 413 阅读 · 0 评论 -
区块链安全100问 | 第四篇:保护数字钱包安全,防止资产被盗
零时科技——专注于区块链安全领域深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。前言原创 2021-07-29 17:17:46 · 417 阅读 · 0 评论 -
Merlin Labs攻击事件复盘分析 | 零时科技
事件背景Merlin是一个能够自动组合的收益聚合工具,其生态系统经过优化,可以实现用户在追求安全和可持续为前提的最大收益回报。零时科技区块链安全情报平台监控到消息,北京时间2021年6月29日,Merlin Labs官方Telegram称Merlin遭受了黑客攻击,并声明黑客将 0.1WBNB 存入vault,然后手动将1000BNB转入合约,以欺骗合约认为它收到了 1000BNB的奖励,从而导致铸币产生了 MERL 奖励,零时科技安全团队及时对该安全事件进行复盘分析。事件分析攻击信息通过初步.原创 2021-07-01 14:10:34 · 2134 阅读 · 0 评论 -
零时科技|邓永凯:区块链矿业生态应用真的安全吗?
4月21日,“2021天府矿工大会”在四川成都首座万豪酒店5楼宴会厅盛大召开。本次大会邀请100多位行业领袖分享前沿观点,50多位区块链矿业生态企业参与,100多家投资机构参与,数十家权威媒体全程报道支持,通过线上“图片”,线下“论坛+展会”的形式参与其中。零时科技CEO邓永凯受主办方考拉财经邀请发表了《区块链矿业生态真的安全吗?》的主题演讲。零时科技,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全技术研究,以丰富的网络安全攻防实战经验结合人工智能及大数据分析处理,为用户提供专原创 2021-04-23 17:51:15 · 192 阅读 · 1 评论 -
PAID Network攻击事件分析 | 零时科技
事件背景PAID Network 是去中心化生态,部署在以太坊的 DApp 项目,旨在重新定义民事法律体系,从而通过专有的 SMART 协议、社区管理的仲裁系统、声誉评分、DeFi 工具,为开展业务提供一种新方法。零时科技区块链安全情报平台监控到消息,北京时间2021年3月6日,PAID Network官方发推称合约遭到黑客攻击,由于PAID Network项目使用的是可升级的存储代理合约模型,攻击者利用PAID Network代理合约owner权限部署了恶意逻辑合约,并盗取了超过5900万个PAID.原创 2021-03-11 16:56:47 · 388 阅读 · 0 评论 -
零时科技|2021年,你应该了解的区块链安全
零时科技|2021年,你应该了解的区块链安全市面上关于区块链安全的资料比较少,零时科技所做的项目基于传统网络攻防技术但又高于传统技术,既要能做代码审计,又需要有渗透测试的基本功,还需要有二进制和内核驱动的技术功底。如果能将一些攻防和分析的实例写出来,以后市面上就多了一本闪光的读物,能让更多的从业者提升水平,更高质量地守卫区块链的安全。做一件事之前,我们首先要想:为什么要做,做这件事的意义是什么?这两点一定要想清楚。写这本书的意义在于给这个行业的从业者多提供一个学习的途径,让爱好者多一个就业的通道。人就原创 2021-03-03 13:53:37 · 758 阅读 · 4 评论 -
零时科技 | Cream Finance协议遭黑客闪电攻击事件分析
事件背景Cream Finance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。北京时间2020年2月13日,Cream Finance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。随后零时科技安全团队立刻对该安全事件进行复盘分析。事件分析通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击原创 2021-03-02 17:31:27 · 553 阅读 · 1 评论 -
是后门,还是大意?Furucombo遭黑客攻击事件分析 |零时科技
是后门,还是大意?Furucombo遭黑客攻击事件分析 |零时科技事件背景Furucombo推出于2020年3月份,支持Uniswap交易,Compound供应功能,还提供闪电贷的用户界面,使得普通用户也可以使用闪电贷策略。零时科技区块链安全情报平台监控到消息,北京时间2021年2月28日早7时,Furucombo官方发推称Furucombo代理遭到攻击者攻击,1500万美元受到影响,并说明取消相关组件授权,受到攻击的合约地址0x17e8Ca1b4798B97602895f63206afCd1Fc9原创 2021-03-01 16:36:03 · 498 阅读 · 8 评论 -
零时科技丨CTF技能宝典之智能合约#薅羊毛漏洞
前言近年来,各个大型CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)比赛中都有了区块链攻防的身影,而且出现的题目绝大多数都是区块链智能合约攻防。此系列文章我们主要以智能合约攻防为中心,来剖析智能合约攻防的要点,前两篇我们分享了合约反编译,反汇编的基础内容。后续的文章中,我们会继续分享CTF比赛中智能合约常见题型(重入,整数溢出,空投,随机数可控等)及解题思路,相信会给读者带来不一样的收获。上篇文章中我们分享了CTF比赛中原创 2021-01-13 19:39:12 · 578 阅读 · 0 评论 -
零时科技丨CTF技能宝典之智能合约#整数溢出漏洞
前言近年来,各个大型CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)比赛中都有了区块链攻防的身影,而且出现的题目绝大多数都是区块链智能合约攻防。此系列文章我们主要以智能合约攻防为中心,来剖析智能合约攻防的要点,前两篇我们分享了合约反编译,反汇编的基础内容。后续的文章中,我们会继续分享CTF比赛中智能合约常见题型(重入,整数溢出,空投,随机数可控等)及解题思路,相信会给读者带来不一样的收获。上篇文章中我们分享了CTF比赛中原创 2021-01-08 18:27:53 · 369 阅读 · 2 评论 -
CTF技能宝典之智能合约#重入漏洞
前言近年来,各个大型CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)比赛中都有了区块链攻防的身影,而且出现的题目绝大多数都是区块链智能合约攻防。此系列文章我们主要以智能合约攻防为中心,来剖析智能合约攻防的要点,前两篇我们分享了合约反编译,反汇编的基础内容。后续的文章中,我们会继续分享CTF比赛中智能合约常见题型(重入,整数溢出,空投,随机数可控等)及解题思路,相信会给读者带来不一样的收获。本篇我们先来分享CTF比赛中的重原创 2020-12-31 10:51:50 · 712 阅读 · 0 评论 -
智能合约安全系列文章反汇编·下篇
智能合约安全系列文章反汇编·下篇前言上篇我们详细分析了智能合约反汇编后的代码内容,包括多个反汇编指令的含义,数据在栈中的存储方式,并通过上下文关联关系梳理代码逻辑。本篇我们将继续分析上篇遗留的反汇编代码,通过上篇学习我们已对反汇编指令在栈和内存存储的有了一定了解,该篇我们将重点来分析反汇编指令表示的代码逻辑。反汇编内容合约源代码pragma solidity ^0.4.24;contract Tee { uint256 private c; function a()原创 2020-12-24 10:14:01 · 187 阅读 · 0 评论 -
链上互助保险平台Nexus Mutual被攻击事件分析
事件背景2020年12月14日,零时科技区块链安全情报中心收到信息,链上互助保险平台 Nexus Mutual 在推特上表示,其创始人 Hugh Karp 的个人钱包地址被一位平台用户攻击,被盗 37 万 NXM(Nexus Mutual 项目原生代币),价值840万美金。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wxEqIJAd-1608260196056)(.\1.png)]随后零时科技安全团队立刻对该安全事件损失资产进行监控,并对事件进行复盘分析。事件分析原创 2020-12-18 10:56:56 · 184 阅读 · 0 评论 -
零时科技 | 智能合约安全系列文章之反编译篇
零时科技 | 智能合约安全系列文章之反编译篇前言 近年来,各个大型CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)比赛中都有了区块链攻防的身影,而且基本都是区块链智能合约攻防。本此系列文章我们也以智能合约攻防为中心,来刨析智能合约攻防的要点,包括合约反编译,CTF常见题型及解题思路,相信会给读者带来不一样的收获。由于CTF比赛中的智能合约源代码没有开源,所以就需要从EVM编译后的opcode进行逆向来得到源代码逻辑,原创 2020-12-16 15:52:13 · 686 阅读 · 0 评论 -
零时科技 | Pickle Finance合约被盗复盘分析
零时科技 | Pickle Finance合约被盗复盘分析事件概述北京时间2020年11月22日凌晨2点33分左右,零时科技区块链安全情报系统检测到DeFi项目Pickle Finance存在异常情况,疑似被攻击,零时科技安全团队通过Pickle Finance官网得知此项目确实存在异常,如下图,cDAI策略池一度被转移清空。随后收到消息称,此项目受到黑客攻击,损失近2000万美金,被盗资金被转移到该地址 :0x70178102AA04C5f0E54315aA958601eC9B7a4E08交易哈转载 2020-11-24 11:29:14 · 195 阅读 · 0 评论