智能合约安全分析,Vyper 重入锁漏洞全路径分析

最新推荐文章于 2024-09-05 13:49:08 发布
最新推荐文章于 2024-09-05 13:49:08 发布
阅读量793 收藏
点赞数
文章标签: 智能合约 安全 区块链 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28733483/article/details/132711264
版权

智能合约安全分析,Vyper 重入锁漏洞全路径分析

事件背景

7 月 30 日 21:10 至 7 月 31 日 06:00 链上发生大规模攻击事件,导致多个 Curve 池的资金损失。漏洞的根源都是由于特定版本的 Vyper 中出现的重入锁故障。

攻击分析

通过对链上交易数据初步分析,我们对其攻击的交易进行整理归纳,并对攻击流程进一步的分析,由于攻击涉及多个交易池。
pETH/ETH 池子被攻击交易:
https://etherscan.io/tx/0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
msETH/ETH 池子被攻击交易:
https://etherscan.io/tx/0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964
alETH/ETH 池子被攻击交易:

最低0.47元/天 解锁文章
比特奇点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Solidity vs. Vyper:不同的智能合约语言的优缺点
ChainlinkO的博客
11-23 1921
本文探讨以下问题:哪种智能合约语言更有优势,Solidity、Vyper、Huff 和 Yul ?最近,关于哪种是“最好的”智能合约语言存在很多争论,当然了,每一种语言都有适用的场景。这篇文章是为了最根本的问题:我应该使用哪一种智能合约语言?
JSP跳转方式
热门推荐
itmyhome的专栏
11-15 4万+
一:RequestDispatcher.forward()        是在服务器端起作用,当使用forward()时,Servlet engine 传递HTTP请求从当前的Servlet  or jsp  到另外一个Servlet JSP 或普通HTML文件        可以进行参数传递 如: RequestDispatcher rd = context.getRequestDispa
浏览器安全
CYP11112的博客
02-23 6820
1.同源策略 所谓的同源,指的是协议,域名,端口相同。浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。 URL 结果 http://a.xyz.com/dir2/other.html 成功 http://a.xyz.com/dir/inner/another.html 成功 http://a.xyz.com...
URL重定向/跳转漏洞
abwxwx的专栏
05-09 1万+
0x00 相关背景介绍 由于应用越来越多的需要和其他的第三方应用交互,以及在自身应用内部根据不同的逻辑将用户引向到不同的页面,譬如一个典型的登录接口就经常需要在认证成功之后将用户引导到登录之前的页面,整个过程中如果实现不好就可能导致一些安全问题,特定条件下可能引起严重的安全漏洞。 0x01 成因 对于URL跳转的实现一般会有几种实现方式: META标签内跳转 javascript跳转
301跳转 forum.php 友链,网站实现301跳转有什么好处
weixin_39625098的博客
04-06 147
网站实现301跳转有什么好处发布时间:2020-03-26 15:59之前在交换友链的时候,发现很多网站都检测出有301跳转,不知道有什么作用。最近,查找了一些资料,来给大家分享一下。301跳转,也叫301重定向,指的是当用户点击网址时,可跳转到指定的另一个网站。301跳转,一般用于两个域名指向同一个网站,一般来说,利用跳转,对网站的排名不会有影响。301跳转是搜索引擎认可的一种跳转方式,也就是说...
五种JSP页面跳转方法详解
薛敬明的专栏
04-07 1605
1. RequestDispatcher.forward()   是在服务器端起作用,当使用forward()时,Servlet engine传递HTTP请求从当前的Servlet or JSP到另外一个Servlet,JSP 或普通HTML文件,也即你的form提交至a.jsp,在a.jsp用到了forward()重定向至b.jsp,此时form提交的所有信息在 b.jsp都可以获得,参数自
智能合约随想——一些简单的Solidity智能合约漏洞/攻击
weixin_73794026的博客
04-25 968
一个没啥干货的Solidity智能合约审计随想,外加一些杂七杂八的知识,大佬们轻点喷QAQ
零时科技 || Vyper 重入漏洞导致的Curve 遭黑客攻击路径分析
m0_37598434的博客
08-11 188
此次攻击事件涉及的攻击范围较广,其根本原因是因为智能合约的基础设施 Vyper 的 0.2.15、0.2.16、0.3.0 版本存在重入设计不合理,从而导致后期使用这些版本的项目中重入失效,最终遭受了黑客攻击。
智能合约Vyper
fengjinghong的博客
03-18 718
参考文档链接 通过PIP安装: 强烈建议在虚拟 Python 环境中安装 Vyper ,以便安装的新包和构建的依赖项严格包含在您的 Vyper 项目中,不会改变或影响您的其他开发环境设置。为了方便 virtualenv 管理,我们推荐使用pyenv 或Poetry。 安装 Vyper vyper 的每个标记版本都上传到pypi,并且可以使用以下方式安装pip: pip install vyper 要安装特定版本,请使用: pip install vyper==0.2.15 ...
智能合约安全分析漏洞防范
本章将介绍智能合约的基础概念,包括智能合约的简介、技术原理以及在区块链中的应用。 ## 1.1 智能合约简介 智能合约是一种以代码形式编写、部署在区块链网络上运行的自动化合约。它们在满足特定条件下执行预先...
FISCO-BCOS中的智能合约安全漏洞分析
它是FISCO-BCOS联盟链平台的核心组成部分,提供了高效、安全、可靠的智能合约功能。 ## 1.2 智能合约的基本原理 智能合约是一种基于区块链技术的自动化合约。它通过编写程序代码,将合约内容和条款以可执行的形式...
如何防止域名被盗
dsdsasadadqwzcff的专栏
05-16 526
域名是整个网站的核心和关键,一旦域名被盗,且转移到其他注册商,将给域名所有人带来巨大的损失,域名被盗后站长索回异常困难(参见这个站长的故事)。如何防止域名被盗也就成为所有网站管理员必须知道的一门尝试。那么,怎么样才能防止自己的域名被不发分子盗取呢?以下是保护域名安全的一些常见方法。   域名信息填写真实信息   在注册域名的时候,域名信息要填写自己真实的信息,不能瞎填。企业用户
html页面自动跳转链接3种方法
张成的博客2017-2020
01-06 2万+
方法1: <meta http-equiv="refresh" content="3;URL=www.wulangwang.top/"> 方法2: <script type="text/javascript"> window.onload=function(){ setTimeout(g...
智能合约漏洞(四)
Farrol的博客
08-29 1294
在前面的文章中,我们讨论了整数溢出/下溢和时间依赖漏洞。今天,我们将继续探讨智能合约中两种常见的安全问题:拒绝服务(Denial of Service, DoS)和恶意合约依赖漏洞。这些漏洞可能导致合约功能的中断或意外的恶意行为,了解这些问题有助于开发更加健壮的智能合约。拒绝服务(DoS)漏洞是一种攻击形式,旨在通过消耗目标系统的资源(如计算力、内存、Gas等),使目标系统无法正常提供服务。在智能合约中,DoS攻击可能导致合约函数被阻塞,无法执行,甚至导致整个合约失效。
【盖世汽车-注册安全分析报告】
09-02 1342
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
【一嗨租车-注册安全分析报告-滑动验证加载不正常导致安全隐患】
09-02 1203
一嗨租车创立于2006年1月,主要为个人和政企用户提供综合汽车出行服务,一嗨租车于北京时间2014年11月18日晚9点45分,正式登陆美国纽交所挂牌交易, 作为美股上市公司,拥有雄厚的技术实力,但采用的是通俗的滑动验证产品,并且不能正常加载导致安全隐患。即使问题解决,其安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全
智能对决:提示词攻防中的AI安全博弈
最新发布
weixin_41496173的博客
09-05 633
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
【软件逆向】第27课,软件逆向安全工程师之(二)寄存器寻址,每天5分钟学习逆向吧!
DvlpNews
09-02 523
寄存器寻址是汇编语言中的一种寻址方式,在这种方式中,操作数位于CPU的寄存器中。寄存器是CPU内部的高速存储位置,用于快速访问数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值