专题:漏洞分析
共18篇相关文章
20230827 Balancer攻击事件,价格操纵与精度丢失,这经典组合拳是何原因?
攻击背景介绍 2023.08.27(没错是 2023 不是 2025),Balancer V2 的稳定币池遭到了黑客攻击,导致多条链上价值约 368k 美元的资产被盗。黑客利用 rounding down(精度丢失)问题操纵 bb-a-US...
20251103的Balancer攻击,是batchSwap还是价格操纵导致精度丢失?
攻击背景介绍 2025.11.03,Balancer V2 的 可组合稳定池(Composable Stable Pools)遭到了黑客攻击,攻击者首先通过 batchSwap 操作用 BPT 兑换出大量 WETH 和 osETH(大幅度移...
20251123-Port3 攻击事件中,如何绕过签名验证实现跨链增发代币?
20251123,攻击者利用 CATERC20 合约中签名验证过程中没有检查非零地址签名的漏洞,调用 registerChain 函数设置了其他链的代币合约。使得跨链代币增发,抛售代币进行获利。 Hacker:https:bscscan...
链上实时计算滑点,岂能等于无滑点?
背景介绍 DRLVaultV3 就是一个基于 USDC 的 Uniswap V3 [WETH, USDC] 流动性收益协议:用户只需要存 USDC 和取 USDC,项目方(operator)负责所有添加流动性、调仓、收手续费的复杂操作,最终...
20251205 - USPD 攻击事件中,初始化缺失漏洞是如何被黑客潜伏多日后利用成功的?
背景信息 20251205,@USPD_io 项目由于部署 ERC1967Proxy 合约时没有执行初始化函数,被黑客抢先进行初始化获取了管理员和升级权限,在时机成熟后利用合约的特权铸造大量 USPD 进行获利,获利金额高达 1M USD。...
20251217 Yearn攻击事件中,协议错设地址,黑客为何自断一臂操控价格?
背景信息 20251217,Yearn 距离上次被攻击不到一个月,又被攻击了。这次被攻击的是自动化收益优化金库 yTUSD。攻击的原因是因为 yTUSD 协议错误配置了相关的衍生品代币地址,导致攻击者可以通过该代币操纵 share 价格,套...
20250702 - FPC Token 攻击事件,黑客限制严格,如何做到灵活应对?
背景 FPC 是 BPE-20 项目,实现了复杂的交易机制,包括买卖手续费、流动性池燃烧机制、限制交易频率、限制交易数量等功能。漏洞产生的原因是当用户卖出代币时,合约会从流动性池中燃烧代币(而非从卖出者余额中燃烧),导致池子中 FPC 代币...
20260109 - TRU 协议攻击事件,买得够多真的免费送吗?
背景 20260109,ETH 链上的 Truebit Protocol 遭受了黑客攻击,损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷,购买大量 TRU 代币时会因为 0.6.10...