Skip to content

Latest commit

 

History

History
180 lines (108 loc) · 6.49 KB

[军机故阁]-2024-1-29-EVM链的漏洞利用报告合集.md

File metadata and controls

180 lines (108 loc) · 6.49 KB

EVM链的漏洞利用报告合集

安全路人A 军机故阁

军机故阁

微信号 gh_e57baf46bdf5

功能介绍 最新的安全情报与技术

__发表于

发现很适合学习用的EVM链的漏洞报告合集,还在不断更新,地址: https://github.com/coinspect/learn-evm- attacks

要了解和学习智能合约相关漏洞的可以看下,一键部署测试环境和详细利用复现细节,只需要安装Foundry,可以快速部署某漏洞环境并复现,比如MBCToken:

$ git clone https://github.com/coinspect/learn-evm-attacks$ forge install$ forge test --match-contract Exploit_MBCToken -vvv

漏洞完整列表如下:

Access Control 存取控制

  • TempleDAO, Oct 2022 - ($2.3MM) - Unchecked ownership on token migration
    TempleDAO,2022 年 10 月 - (    $2.3MM) - 代币迁移的所有权不受检查

  • Rikkei, Apr 2022 - ($1MM) - Public Oracle Setter
    Rikkei, Apr 2022 - ($1MM) - 公共预言机 Setter

  • DAOMaker, Sept 2021 - ($4MM) - Public Init
    DAOMaker, 九月 2021 - (    $4MM) - Public Init

  • Sandbox, Feb 2022 - (1 NFT, possibly more) - Public Burn
    Sandbox,2022 年 2 月 - (1 NFT,可能更多) - Public Burn

  • Punk Protocol, Aug 2021 - ($8MM) - Non initialized contract
    Punk Protocol, Aug 2021 - (    $8MM) - 未初始化合约

  • MBC Token, Nov 2022 - ($8MM) - External function
    MBC Token, 十一月 2022 - (    $8MM) - 外部函数

Bad Data Validation 错误数据验证

  • Olympus DAO Bond, Oct 2022 - ($300,000) - Arbitrary Tokens / Unchecked transfers
    Olympus DAO Bond, 十月 2022 - (    $300,000) - 任意代币/未经检查的转账

  • Bad Guys NFT, Sept 2022 - (400 NFTs) - Unchecked Mint Amount
    Bad Guys NFT,2022 年 9 月 - (400 NFT) - 未经检查的铸币量

  • Multichain a.k.a AnySwap, Jan 2022 - ($960,000) - Arbitrary Tokens / Unchecked Permit
    多链又名 AnySwap,2022 年 1 月 - (    $960,000) - 任意代币/未经检查的许可证

  • Superfluid, Jan 2022 - ($8.7MM) - Calldata crafting / CTX not verified
    Superfluid, Jan 2022 - (    $8.7MM) - Calldata crafting / CTX 未验证

Business Logic 业务逻辑

  • Sperax USDS, Feb 2023 - (9.7B tokens / ~$309K) - Faulty Migration Process & Balance Accounting
    Sperax USDS,2023 年 2 月 - (9.7B 代币 / ~$309K) - 错误的迁移过程和余额会计

  • TeamFinance - Oct 2022 - ($15MM / $7MM returned) - Arbitrary Input Parameters / Migrate Authentication Bypass
    TeamFinance - 2022年10月 - (    $15MM / $7MM 返回) - 任意输入参数/迁移身份验证绕过

  • EarningFarm, Oct 2022 - (200 ETH) - Unchecked Flashloan reception
    EarningFarm,2022 年 10 月 - (200 ETH) - 未经检查的闪电贷接收

  • BVaults, Oct 2022 - ($35,000) - DEX Pair Manipulation
    BVaults,2022 年 10 月 - ($35,000) - DEX 货币对操纵

  • Fantasm Finance, Mar 2022 - ($2.4MM) - Unchecked Payments While Minting
    Fantasm Finance, Mar 2022 - ($2.4MM) - 铸币时未检查付款

  • Compound - Mar 2022 - ($0) - Side Entrance on cToken
    化合物 - 2022 年 3 月 - ($0) - cToken 上的侧入口

  • OneRing Finance - Mar 2022 - ($2MM) - Price Feed Manipulation
    OneRing Finance - 2022年3月 - (    $2MM) - Price Feed Manipulation

  • Vesper Rari Pool - Nov 2021 - ($3MM) - Price Feed Manipulation
    Vesper Rari Pool - 2021年11月 - (    $3MM) - 价格馈送操纵

  • Uranium - Apr 2021 - ($50MM) - Wrong Constant Product AMM checks
    铀 - 2021 年 4 月 - (    $50MM) - 错误的恒定乘积 AMM 检查

  • Furucombo - Feb 2021 - ($15MM) - DELEGATECALL to proxy
    Furucombo - Feb 2021 - ($15MM) - DELEGATE致电代理

  • Seaman - Nov 2022 - ($7K) - Sandwich attack
    Seaman - 2022 年 11 月 - ($7K) - 三明治攻击

  • Tornado Cash Governance - May 2023 - ($2.7MM) - Malicious Proposal
    Tornado Cash Governance - 五月 2023 - (    $2.7MM) - 恶意提案

Reentrancy 重入

  • Qi Dao / Curve Pool - Nov 2022 - ($156K) - Read Only Reentrancy
    Qi Dao / Curve Pool - 2022 年 11 月 - (    $156K) - 只读重入

  • DFX Finance - Nov 2022 - ($6MM) - Reentrancy / Side Entrance
    DFX Finance - 2022年11月 - (    $6MM) - 重入/侧入口

  • Fei Protocol, Apr 2022 - ($80MM) - Cross Function Reentrancy / FlashLoan Attack
    Fei Protocol, Apr 2022 - (    $80MM) - Cross Function Reentrancy / FlashLoan 攻击

  • Revest Protocol, Mar 2022 - ($2MM) - ERC1155 Reentrancy / Flashswap Attack
    Revest Protocol, Mar 2022 - (    $2MM) - ERC1155 重入/Flashswap 攻击

  • Hundred Finance - Mar 2022 - ($6MM) - Reentrancy / ERC667 Transfer Hook
    百财经 - 2022年3月 - (    $6MM) - Reentrancy / ERC667 Transfer Hook

  • Paraluni - Mar 2022 - ($1.7MM) - Reentrancy / Arbitrary tokens
    Paraluni - 三月 2022 - (    $1.7MM) - 重入/任意令牌

  • Cream Finance - Aug 2021 - ($18MM) - Reentrancy / ERC777 Transfer Hook
    Cream Finance - 2021年8月 - (    $18MM) - 重入 / ERC777 Transfer Hook

  • Read Only Reentrancy - N/A - N/A - Read Only Reentrancy
    只读重入 - N/A - N/A - 只读重入

Bridges 桥

  • Nomad Bridge, Aug 2022 - ($190MM) - Invalid Root Hash Commitment / Poor Root Validation
    Nomad Bridge, Aug 2022 - (    $190MM) - 无效的根哈希承诺/糟糕的根验证

  • Ronin Bridge, Mar 2022 - ($624MM) - Compromised Keys
    Ronin Bridge, Mar 2022 - (    $624MM) - 密钥泄露

  • Wormhole Bridge, Feb 2022 - ($10MM, bounty) - Uninitialized bridge
    虫洞桥,2022 年 2 月 - (    $10MM,赏金) - 未初始化的桥

  • PolyNetwork Bridge, Aug 2021 - ($611MM) - Arbitrary External Calls, Access Control Bypass
    PolyNetwork Bridge, Aug 2021 - (    $611MM) - 任意外部呼叫,访问控制绕过

  • Arbitrum Inbox (REPORTED), Sep 2022 - (400K ETH BUG BOUNTY) - Uninitialized Implementation
    Arbitrum 收件箱(已报告),2022 年 9 月 - (400K ETH BUG BOUNTY) - 未初始化的实现

预览时标签不可点

微信扫一扫
关注该公众号

继续滑动看下一个

EVM链的漏洞利用报告合集

安全路人A 军机故阁

轻触阅读原文

军机故阁

赞 分享 在看

向上滑动看下一个

知道了

微信扫一扫
使用小程序

取消 允许

取消 允许

: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看 分享 留言