EVM链的漏洞利用报告合集

admin
admin
admin
139984
文章
114
评论
2024年1月29日20:28:54评论44 views字数 3775阅读12分35秒阅读模式

EVM链的漏洞利用报告合集

发现很适合学习用的EVM链的漏洞报告合集,还在不断更新,地址:https://github.com/coinspect/learn-evm-attacks

要了解和学习智能合约相关漏洞的可以看下,一键部署测试环境和详细利用复现细节,只需要安装Foundry,可以快速部署某漏洞环境并复现,比如MBCToken:

$ git clone https://github.com/coinspect/learn-evm-attacks$ forge install$ forge test --match-contract Exploit_MBCToken -vvv

漏洞完整列表如下:

Access Control存取控制

  • TempleDAO, Oct 2022 - (~$2.3MM) - Unchecked ownership on token migration
    TempleDAO,2022 年 10 月 - (~$2.3MM) - 代币迁移的所有权不受检查

  • Rikkei, Apr 2022 - ($1MM) - Public Oracle Setter
    Rikkei, Apr 2022 - ($1MM) - 公共预言机 Setter

  • DAOMaker, Sept 2021 - (~$4MM) - Public Init
    DAOMaker, 九月 2021 - (~$4MM) - Public Init

  • Sandbox, Feb 2022 - (1 NFT, possibly more) - Public Burn
    Sandbox,2022 年 2 月 - (1 NFT,可能更多) - Public Burn

  • Punk Protocol, Aug 2021 - (~$8MM) - Non initialized contract
    Punk Protocol, Aug 2021 - (~$8MM) - 未初始化合约

  • MBC Token, Nov 2022 - (~$8MM) - External function
    MBC Token, 十一月 2022 - (~$8MM) - 外部函数

Bad Data Validation错误数据验证

  • Olympus DAO Bond, Oct 2022 - (~$300,000) - Arbitrary Tokens / Unchecked transfers
    Olympus DAO Bond, 十月 2022 - (~$300,000) - 任意代币/未经检查的转账

  • Bad Guys NFT, Sept 2022 - (400 NFTs) - Unchecked Mint Amount
    Bad Guys NFT,2022 年 9 月 - (400 NFT) - 未经检查的铸币量

  • Multichain a.k.a AnySwap, Jan 2022 - (~$960,000) - Arbitrary Tokens / Unchecked Permit
    多链又名 AnySwap,2022 年 1 月 - (~$960,000) - 任意代币/未经检查的许可证

  • Superfluid, Jan 2022 - (~$8.7MM) - Calldata crafting / CTX not verified
    Superfluid, Jan 2022 - (~$8.7MM) - Calldata crafting / CTX 未验证

Business Logic业务逻辑

  • Sperax USDS, Feb 2023 - (9.7B tokens / ~$309K) - Faulty Migration Process & Balance Accounting
    Sperax USDS,2023 年 2 月 - (9.7B 代币 / ~$309K) - 错误的迁移过程和余额会计

  • TeamFinance - Oct 2022 - (~$15MM / $7MM returned) - Arbitrary Input Parameters / Migrate Authentication Bypass
    TeamFinance - 2022年10月 - (~$15MM / $7MM 返回) - 任意输入参数/迁移身份验证绕过

  • EarningFarm, Oct 2022 - (200 ETH) - Unchecked Flashloan reception
    EarningFarm,2022 年 10 月 - (200 ETH) - 未经检查的闪电贷接收

  • BVaults, Oct 2022 - ($35,000) - DEX Pair Manipulation
    BVaults,2022 年 10 月 - ($35,000) - DEX 货币对操纵

  • Fantasm Finance, Mar 2022 - ($2.4MM) - Unchecked Payments While Minting
    Fantasm Finance, Mar 2022 - ($2.4MM) - 铸币时未检查付款

  • Compound - Mar 2022 - ($0) - Side Entrance on cToken
    化合物 - 2022 年 3 月 - ($0) - cToken 上的侧入口

  • OneRing Finance - Mar 2022 - (~$2MM) - Price Feed Manipulation
    OneRing Finance - 2022年3月 - (~$2MM) - Price Feed Manipulation

  • Vesper Rari Pool - Nov 2021 - (~$3MM) - Price Feed Manipulation
    Vesper Rari Pool - 2021年11月 - (~$3MM) - 价格馈送操纵

  • Uranium - Apr 2021 - (~$50MM) - Wrong Constant Product AMM checks
    铀 - 2021 年 4 月 - (~$50MM) - 错误的恒定乘积 AMM 检查

  • Furucombo - Feb 2021 - ($15MM) - DELEGATECALL to proxy
    Furucombo - Feb 2021 - ($15MM) - DELEGATE致电代理

  • Seaman - Nov 2022 - ($7K) - Sandwich attack
    Seaman - 2022 年 11 月 - ($7K) - 三明治攻击

  • Tornado Cash Governance - May 2023 - (~$2.7MM) - Malicious Proposal
    Tornado Cash Governance - 五月 2023 - (~$2.7MM) - 恶意提案

Reentrancy重入

  • Qi Dao / Curve Pool - Nov 2022 - (~$156K) - Read Only Reentrancy
    Qi Dao / Curve Pool - 2022 年 11 月 - (~$156K) - 只读重入

  • DFX Finance - Nov 2022 - (~$6MM) - Reentrancy / Side Entrance
    DFX Finance - 2022年11月 - (~$6MM) - 重入/侧入口

  • Fei Protocol, Apr 2022 - (~$80MM) - Cross Function Reentrancy / FlashLoan Attack
    Fei Protocol, Apr 2022 - (~$80MM) - Cross Function Reentrancy / FlashLoan 攻击

  • Revest Protocol, Mar 2022 - (~$2MM) - ERC1155 Reentrancy / Flashswap Attack
    Revest Protocol, Mar 2022 - (~$2MM) - ERC1155 重入/Flashswap 攻击

  • Hundred Finance - Mar 2022 - (~$6MM) - Reentrancy / ERC667 Transfer Hook
    百财经 - 2022年3月 - (~$6MM) - Reentrancy / ERC667 Transfer Hook

  • Paraluni - Mar 2022 - (~$1.7MM) - Reentrancy / Arbitrary tokens
    Paraluni - 三月 2022 - (~$1.7MM) - 重入/任意令牌

  • Cream Finance - Aug 2021 - (~$18MM) - Reentrancy / ERC777 Transfer Hook
    Cream Finance - 2021年8月 - (~$18MM) - 重入 / ERC777 Transfer Hook

  • Read Only Reentrancy - N/A - N/A - Read Only Reentrancy
    只读重入 - N/A - N/A - 只读重入

Bridges 

  • Nomad Bridge, Aug 2022 - (~$190MM) - Invalid Root Hash Commitment / Poor Root Validation
    Nomad Bridge, Aug 2022 - (~$190MM) - 无效的根哈希承诺/糟糕的根验证

  • Ronin Bridge, Mar 2022 - (~$624MM) - Compromised Keys
    Ronin Bridge, Mar 2022 - (~$624MM) - 密钥泄露

  • Wormhole Bridge, Feb 2022 - (~$10MM, bounty) - Uninitialized bridge
    虫洞桥,2022 年 2 月 - (~$10MM,赏金) - 未初始化的桥

  • PolyNetwork Bridge, Aug 2021 - (~$611MM) - Arbitrary External Calls, Access Control Bypass
    PolyNetwork Bridge, Aug 2021 - (~$611MM) - 任意外部呼叫,访问控制绕过

  • Arbitrum Inbox (REPORTED), Sep 2022 - (400K ETH BUG BOUNTY) - Uninitialized Implementation
    Arbitrum 收件箱(已报告),2022 年 9 月 - (400K ETH BUG BOUNTY) - 未初始化的实现

原文始发于微信公众号(军机故阁):EVM链的漏洞利用报告合集

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月29日20:28:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   EVM链的漏洞利用报告合集https://cn-sec.com/archives/2440929.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息