WEB3漏洞

DeeLMind 提示

详细讲解可以观看网安模块化课程

信息搜集

• Slowmist
• Forta
• Rekt
• DeFiHackLabs
• 工具集
• 最新漏洞

调试分析

• Blocksec
• Tenderly
• Calldata
• Solidity Decompile Online Contract
• Solidity Decompile Bytecode Contract
• Decompile
• 4byte
• Openchain

代码审计

• Slither

漏洞类型

1. 重入攻击（Reentrancy Attack）： 攻击者利用智能合约中的漏洞，重复调用受攻击合约的可调用函数，从而在合约执行过程中不断插入恶意逻辑，导致资金被盗取。

2. 溢出和下溢（Overflow and Underflow）： 如果在智能合约中对整数类型进行不正确的算术运算，可能会导致数值溢出或下溢，使得资金或其他资源被盗取或损失。

3. 逻辑漏洞（Logic Flaws）： 智能合约中的逻辑漏洞可能会导致不符合预期的行为或结果，例如权限错误、条件竞争（Race Conditions）、错误的状态转换等。

4. 未授权访问（Unauthorized Access）： 如果智能合约中的函数没有正确实现访问控制机制，可能会导致攻击者绕过权限检查，访问或修改合约的敏感数据或功能。

5. 弱随机性（Weak Randomness）： 如果智能合约中使用的随机数生成算法不够安全或不够随机，攻击者可能可以预测随机数的值，并利用此进行攻击。

6. 前置攻击（Front-Running Attack）： 攻击者在交易提交之前观察到交易池中的交易，并利用这些信息来执行对自己有利的交易，从而获利。

7. 未处理异常（Unhandled Exceptions）： 如果智能合约没有适当地处理异常情况，可能会导致合约被锁定、资金被冻结或其他不良后果。

8. 僵尸合约攻击（Zombie Contract Attack）： 攻击者利用已经被废弃但仍具有一定权限的合约来执行攻击，例如调用其他合约、转移资金等。

9. 存储扫描攻击（Storage Scanning Attack）： 攻击者通过对合约的存储状态进行扫描，寻找敏感信息或漏洞，例如未清空的临时变量、遗留数据等。

10. 交易顺序依赖（Transaction-Ordering Dependence）： 如果智能合约的行为取决于交易的顺序，则攻击者可能通过调整交易的顺序来影响合约的执行结果。

11. Sandwich Attack： 攻击者在进行交易时，通过在目标交易之前或之后快速提交自己的交易，以在目标交易执行前或执行后利用市场价格的波动来获取利益。这样的行为称为“挤压”（front-running）或“反挤压”（back-running）。