币圈防诈骗

CertiK:PolyNetwork攻击事件分析

“黑客拿着房主证明找物业拿钥匙,证明是假的,却从物业那里拿到了真的钥匙” 事件回顾 2021年8月10日,PolyNetwork遭受了跨链攻击,被转移了6亿美金的加密资产(之后攻击者开始陆续归还被盗资产)。攻击者在多条公链上进行了攻击交易,并通过跨链管理合约和中继器组件完成了攻击。 用上面物业的例子来解释的...

29 枚 Moonbirds NFT 被盗事件溯源分析

作者:By:山哥&耀@慢雾安全团队 事件背景 5 月 25 日,推特用户 @0xLosingMoney 称监测到 ID 为 @Dvincent_ 的用户通过钓鱼网站 p2peers.io 盗走了 29 枚 Moonbirds 系列 NFT,价值超 70 万美...

利用 Google 广告漏洞,钓鱼网站竟做到与官方 URL 看似完全相同

虚假广告广泛撒网,你被钓鱼了吗? 事件背景 5 月 10 日,Sentinel 创始人 Serpent 发推表示,Scammer  利用 Google 广告的漏洞,使官方和钓鱼网站 URL 看起来完全相同。 (来源:https://twitter.com/Serpent/status/15238335738153...

大意失荆州:Paraluni 被黑分析

建议在进行 deposit 存款等敏感操作时对指定 pid 对应的池子代币与所传入的代币做好一致性的判断,并且在添加流动性等涉及 LP 代币数量变动的函数需添加重入锁的限制,避免再次出现此类问题。 2022 年 03 月 13 日,据区消息,Paraluni 存在严重漏洞遭攻击,黑客获利约 170 万美元,第一时间...

链上追踪:洗币手法科普之 Tornado.Cash

如何洗币? 这次的主题是混币器 Tornado.Cash。 随着黑客盗币事件愈演愈烈,Tornado.Cash 也变得越来越 “有名”,大多数黑客在获利后都毫不留情地将 “脏币” 转向 Tornado.Cash。今天以一个真实案例来看看这名黑客是怎么通过 Tornado.Cash  洗币的。 基础知识 Tornad...

黑客获利超 145 万枚 USDC,OneRing Finance 被黑分析

建议在进行 share 的价格计算时不要使用实时储备量进行计算,避免再次出现此类事故。 2022 年 3 月 21 日,据区消息,OneRing Finance 存在严重漏洞遭到攻击,黑客获利约 1,454,672.244369 USDC(约 146 万美元),第一时间介入分析,并将结果分享如下: 相关信息 One...

损失超 6.1 亿美元,技术分析 Ronin Network 被黑细节

本次攻击事件主要原因在于 Sky Mavis 系统被入侵,以及 Axie DAO 白名单权限维护不当 2022 年 03 月 29 日,Axie Infinity 侧链 Ronin Network 发布社区预警,Ronin Network 出现安全漏洞,Ronin Bridge 共 17.36 万枚 ETH 和 2...

Jet Protocol 任意提款漏洞:浅谈账号校验重要性

目前在 Solana 上发生过多起的黑客攻击事件均与账号校验问题有关,提醒广大 Solana 开发者,注意对账号体系进行严密的审查。 原用标题:漏洞随笔:通过 Jet Protocol 任意提款漏洞浅谈 PDA 与 Anchor 账号验证 据 Jet Protocol 官方博客披露,他们近期修复了一个赏金漏洞,这个...

揭露浏览器恶意书签如何盗取你的 Discord Token

作为用户,重要的是要注意任何添加操作和代码都可能是恶意的。 背景 区块链的世界遵循黑暗森林法则,在这个世界我们随时可能遭受到来自不明的外部攻击,作为普通用户不进行作恶,但是了解黑客的作恶的方式是十分必要的。 此前发布了区块链黑暗森林自救手册(https://github.com/slowmist/Blockchai...