Solidity 合约漏洞,价值 38BNB 漏洞分析

最新推荐文章于 2024-07-10 17:54:45 发布
最新推荐文章于 2024-07-10 17:54:45 发布
阅读量850 收藏
点赞数
分类专栏: 智能合约漏洞案例 文章标签: 区块链 智能合约 安全 人工智能 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28733483/article/details/133577924
版权

Solidity 合约漏洞,价值 38BNB 漏洞分析

1. 漏洞简介

https://twitter.com/NumenAlert/status/1626447469361102850
https://twitter.com/bbbb/status/1626392605264351235

2. 相关地址或交易

攻击交易:
https://bscscan.com/tx/0x146586f05a4513136deab3557ad15df8f77ffbcdbd0dd0724bc66dbeab98a962
攻击账号:0x187473cf30e2186f8fb0feda1fd21bad9aa177ca
攻击合约:0xd1b5473ffbadd80ff274f672b295ba8811b32538
被攻击合约:Starlink 0x518281f34dbf5b76e6cdd3908a6972e8ec49e345

3. 获利分析

4. 攻击过程&漏洞原因

查看攻击交易过程,发现攻击合约反复调用 Starlink. transfer 、Cake-LP. Skim、Cake-LP. Sync 这三个步骤,且调用完后查看了 Cake-LP、0xd1b5473ffbadd80ff274f672b295ba8811b32538 合约的 Starlink 余额。


从中可发现 Cake-LP 的 Starlink 余额正急剧减少,势必导致池子的价格失衡。查看原因发现,当调用池子 Cake-LP 的 skim 函数时,会将池子中的代币转给地址 0x9cbb175a448b7f06c179e167e1afeffb81e51dfa。

在多次重复操作后可查看到池子的 Starlink 代币数量仅为 558 单位,攻击者可以使用少量 Starlink 代币换取全部 WBNB 代币:

攻击者归还闪电贷,离场。

比特奇点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Solidity-值类型(一)
sdsdjjd的博客
10-30 459
solidity是一门智能合约语言,是静态类型语言,支持继承等特性。
智能合约漏洞攻击事件_智能合约百科全书攻击漏洞
weixin_26747751的博客
09-14 6137
智能合约漏洞攻击事件Applications on Ethereum manage financial value, making security absolutely crucial. As a nascent, experimental technology, smart contracts have certainly had their fair share of attacks. 以太...
一个solidity小错误
sooxin的专栏
12-26 124
addLiquidty() 为public,且没有权限判断,而合约里本身有预存的ZXD,攻击者可以通过转入BNB合约,然后触发addLiquidty(),再 removeLiquidty(),从而盗取合约里面的ZXD,然后卖掉套利。addLiquidty() 设置为private,同时以后写合约注意,不需要的函数方法都应该设置为private,以避免出现漏洞。转入合约一定数量其他代币+BNB合约根据转入的BNB+ZXD自动加池子。
区块链论文速读A会-ISSTA 2023(2/2)如何检测DeFi协议中的价格操纵漏洞
软件工程小施同学 的专栏
07-07 699
在本文中,我们提出了 IcyChecker,这是一个基于模糊测试的新框架,可有效识别状态不一致(SI)错误 - 这是一种特定类型的错误,可能导致诸如重入、具有复杂模式的抢先交易等漏洞。通过将 IcyChecker 与其他最先进的工具(即 Smartian、Confuzzius 和 Sailfish)进行比较,我们发现 IcyChecker 不仅可以识别出更多的 SI 错误,而且由于其集成了准确的链上数据和独特的模糊测试策略,误报率也低得多。我们的研究为检测 DApp 中的智能合约漏洞的新方法提供了启示。
使用 Chainlink Keepers 实现智能合约函数的自动化执行
ChainlinkO的博客
07-27 999
智能合约有一个经常被忽视的特点,就是它不能自行执行,而是需要一个外部实体来触发它们的内部逻辑,本文讲讨论如何实现合约函数的自动化执行。
智能合约经典漏洞案例,xSurge 重入漏洞+套利 综合运用
09-27 1994
再看下漏洞存在的 sell 方法中的关键代码,sell 方法有 nonReentrant 修饰符,存在对重入攻击的防范措施,所以在 sell 函数执行完之前,攻击者是无法再次进入到 sell 函数中的。在漏洞利用中,攻击者也没有利用漏洞再次进行 sell 函数,而是利用漏洞后进入 purchase 函数。本次合约代码中存在的漏洞利用与传统的重入攻击有些区别。
[区块链安全-链上分析]链上安全分析及相关POC编写
Young
04-23 1027
区块链链上安全分析及相关POC编写
Truffle - 2 利用Truffle编写、测试智能合约并将其部署到不同的测试网络
weixin_51487151的博客
04-24 5784
2 Truffle 项目 2.1创建项目 建一个文件夹 mkdir truffle-project truffle init //初始化 qinjianquan@MacBook-Pro-10 truffle-project % ls //查看文件 contracts test migrations truffle-config.js contracts 编写智能合约的文件夹 migrations 使用solidity编写智能合约的文件夹,编写文件解释truffle 如何部署智能合约,用的是no
区块链论文阅读(1)-SGUARD: Towards Fixing Vulnerable Smart Contracts Automatically
qq_43697892的博客
09-08 1889
摘要 智能合约是分布式的、自我执行的程序,在区块链网络上执行。它们有可能彻底改变金融机构和供应链等许多行业。然而,智能合约存在基于代码的漏洞,这为其应用蒙上了一层阴影。由于智能合约不可修补(区块链具有不变性),因此保证智能合约没有漏洞至关重要。不幸的是,诸如 Solidity 之类的智能合约语言是图灵完备的,这意味着静态验证它们是不可行的。因此,必须开发替代方法来提供保证。在这项工作中,我们开发了一种自动转换智能合约的方法,以便它们可以证明没有 4 种常见的漏洞。关键思想是以有效且可证明正确的方式在应用运行
solidity已知漏洞
05-15
本文将对 Solidity 已知漏洞进行总结和分析,并提供相应的防御方法。 1.DAO 算法上溢出漏洞 DAO 算法上溢出漏洞是一种常见的漏洞,它可以被攻击者利用来攻击智能合约。该漏洞的成因是由于 Solidity 语言中整数溢出...
解密EVM内部机制及合约安全漏洞
11-22
深度解密EVM内部实现机制,并给从solidity高级语言层、汇编层和EVM实现层三层同时解析了智能合约top10安全漏洞的成因,对于想深度了解EVM及智能合约安全漏洞的同学来讲,是一本国内非常难找到的好书!
Solidity编写智能合约(入门)
01-27
Solidity中,一个合约由一组代码(合约的函数)和数据(合约的状态)组成。合约位于以太坊区块链上的一个特殊地址。uint storedData;这行代码声明了一个状态变量,变量名为storedData,类型为uint (256bits无符号...
基于FISCO BCOS 开发的solidity 智能合约DEMO
11-14
本DEMO主要展示了如何在FISCO BCOS上利用Solidity语言编写智能合约。下面我们将深入探讨FISCO BCOS、Solidity以及DEMO中包含的合约文件。 1. FISCO BCOS平台: FISCO BCOS是一个企业级的区块链基础设施,旨在提供...
有关区块链的一些数学知识储备
m0_57057282的博客
07-09 1150
比如我们需要定义函数 f,满足 𝑓(1)=𝑥,𝑓(2)=𝑦,𝑓(3)=𝑧f(1)=x,f(2)=y,f(3)=z ,那么只需要定义两个集合 {1,2,3},{𝑥,𝑦,𝑧}{1,2,3},{x,y,z} ,二者进行笛卡尔积,并取结果的子集即可得到目标映射关系 (1,𝑥),(2,𝑦),(3,𝑧)(1,x),(2,y),(3,z)。得到最大公约数 gcd⁡(30,24)=6gcd(30,24)=6, 而 (𝑥,𝑦)=(𝑥0,𝑦0)=(1,−1)(x,y)=(x0​,y0​)=(1,−1).
如何通过JSON-RPC向以太坊链发送签名交易数据?
最新发布
任磊
07-10 46
在以太坊开发当中,通过web3.js、ethers.js等提供的API方法,都可以完成与以太坊的转账交易。那么如何通过以太坊JSON-RPC与以太坊进行交易呢?在以太坊的JSON-RPC当中,有eth_sendRawTransaction这个方法,可以向以太坊网络提交预签名的交易广播。
区块链+跨境服务】粤澳健康码跨境互认系统 | FISCO BCOS应用案例
FISCO_BCOS的博客
07-09 537
微众银行运用国产开源区块链底层平台 FISCO BCOS、实体身份标识及可信数据交换开源 解决方案 WeIdentity,为项目提供开源技术支持,助力两地居民正常跨境通关,免除 14 天医学观察期。
信息系统项目管理师【一】英文选择题词汇大全(1)
技术管理修行
07-09 239
信息系统项目管理师,英文选择题词汇大全
智能合约漏洞检测工具分析和比较
05-15
智能合约漏洞检测工具是用于检测智能合约中潜在漏洞的软件工具。目前市场上有多种智能合约漏洞检测工具,包括但不限于:Mythril、SmartCheck、Securify、Oyente、Solhint、Slither等。下面对这些工具进行简要分析和比较: 1. Mythril:一种基于Python的智能合约漏洞检测工具,可以自动检测以太坊智能合约中的漏洞。Mythril使用静态分析技术来检测合约中的漏洞,并支持多种漏洞类型的检测。 2. SmartCheck:一种基于Solidity智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。SmartCheck还支持自定义规则和插件。 3. Securify:一种基于静态分析智能合约漏洞检测工具,支持检测多种漏洞类型。Securify使用了一种基于抽象解释的方法来检测合约中的漏洞。 4. Oyente:一种基于Python的智能合约漏洞检测工具,使用了一种基于符号执行的技术来检测合约中的漏洞。Oyente支持多种漏洞类型的检测,并提供了一种基于可视化的方式来展示检测结果。 5. Solhint:一种用于Solidity代码规范检查的工具,可以检查合约中的代码是否符合Solidity代码规范。Solhint支持多种代码规范,并可以自定义规范。 6. Slither:一种基于静态分析智能合约漏洞检测工具,支持多种漏洞类型的检测。Slither使用了一种基于数据流分析的方法来检测合约中的漏洞。 综上所述,不同的智能合约漏洞检测工具使用了不同的技术和方法来检测合约中的漏洞,每种工具都有其独特的优势和劣势。在选择合适的工具时,需要根据具体的需求和场景进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值