Binance Square
#smartcontractsecurity

smartcontractsecurity

4,019 Aufrufe
49 Kommentare
三丈坟头草
·
--
Summer.fi 610 Millionen US-Dollar wurden von einem Flash-Loan mitgenommen – das Problem liegt nicht in der Liquidität on-chain, sondern in einer einzigen Zeile „Vertrauen“. Der Angreifer nahm einen Flash-Loan über 65,40 Millionen USDC + 1 Million USDT. Zuerst deponierte er 64,80 Millionen USDC in Fleet Commander, um Anteile zu erhalten. Dann stopfte er die SiloVault-Anteile direkt in den Strategievertrag Ark, der von Silo Finance verwaltet wird – und umging dabei den normalen Einzahlungsweg. So „spendete“ er den Ark-Guthabenstand von 0 direkt auf 7,14 Millionen US-Dollar. Bei der Berechnung von totalAssets verlässt sich Fleet Commander bei dem ursprünglichen Kontostand, den Ark selbst meldet, vollständig – ohne irgendeine interne Validierung. Der Angreifer konnte daraufhin nahtlos 71,00 Millionen USDC zurücklösen. Der Netto-Gewinn aus einer einzelnen Transaktion betrug etwa 6,10 Millionen US-Dollar, bevor er den Tatort verließ. Onchain Lens klassifiziert das als eine ERC-4626-Spendenattacke über mehrere Verträge. Das eigentliche Wesen dieser Art von Schwachstelle besteht darin, dass ein Vault den Strategievertrag als „vertrauenswürdigen Orakel“ behandelt, während der ERC-4626-Standard selbst nicht zwingend die Trennung zwischen externem Zufluss und dem echten Einzahlungsvorgang erzwingt. Drei Hinweise für Inhaber von Positionen: 1. Achte darauf, ob das verwendete Protokoll für die Strategielayer eine unabhängige Buchführung macht – statt einfach balanceOf direkt auszulesen 2. Bei Vaults, bei denen die Rendite ungewöhnlich stark ansteigt: zuerst die TVL-Zusammensetzung prüfen, bevor man über APY spricht 3. Flash-Loan + Anteilsaufblähung ist eine der häufigsten Kombinationsangriffe der letzten zwei Jahre in DeFi – behandle das nicht länger wie einen Black Swan Code-Vertrauen ist keine Sicherheit, Validierung schon. #DeFi #SmartContractSecurity #ERC4626
Summer.fi 610 Millionen US-Dollar wurden von einem Flash-Loan mitgenommen – das Problem liegt nicht in der Liquidität on-chain, sondern in einer einzigen Zeile „Vertrauen“.

Der Angreifer nahm einen Flash-Loan über 65,40 Millionen USDC + 1 Million USDT. Zuerst deponierte er 64,80 Millionen USDC in Fleet Commander, um Anteile zu erhalten. Dann stopfte er die SiloVault-Anteile direkt in den Strategievertrag Ark, der von Silo Finance verwaltet wird – und umging dabei den normalen Einzahlungsweg. So „spendete“ er den Ark-Guthabenstand von 0 direkt auf 7,14 Millionen US-Dollar.

Bei der Berechnung von totalAssets verlässt sich Fleet Commander bei dem ursprünglichen Kontostand, den Ark selbst meldet, vollständig – ohne irgendeine interne Validierung. Der Angreifer konnte daraufhin nahtlos 71,00 Millionen USDC zurücklösen. Der Netto-Gewinn aus einer einzelnen Transaktion betrug etwa 6,10 Millionen US-Dollar, bevor er den Tatort verließ.

Onchain Lens klassifiziert das als eine ERC-4626-Spendenattacke über mehrere Verträge. Das eigentliche Wesen dieser Art von Schwachstelle besteht darin, dass ein Vault den Strategievertrag als „vertrauenswürdigen Orakel“ behandelt, während der ERC-4626-Standard selbst nicht zwingend die Trennung zwischen externem Zufluss und dem echten Einzahlungsvorgang erzwingt.

Drei Hinweise für Inhaber von Positionen:
1. Achte darauf, ob das verwendete Protokoll für die Strategielayer eine unabhängige Buchführung macht – statt einfach balanceOf direkt auszulesen
2. Bei Vaults, bei denen die Rendite ungewöhnlich stark ansteigt: zuerst die TVL-Zusammensetzung prüfen, bevor man über APY spricht
3. Flash-Loan + Anteilsaufblähung ist eine der häufigsten Kombinationsangriffe der letzten zwei Jahre in DeFi – behandle das nicht länger wie einen Black Swan

Code-Vertrauen ist keine Sicherheit, Validierung schon.

#DeFi #SmartContractSecurity #ERC4626
Stell dir vor, du hast eine digitale Tür weit offen gelassen, sodass Hacker einfach reinspazieren können, und es hat eine ganze Woche gedauert, bis jemand es bemerkt hat. Genau das ist mit dem Cross-Chain-Bridge von Secret Network zu Axelar passiert, als ein Angreifer einen jahrelangen Minting-Fehler in einem CW20-ICS20-Vertrag ausgenutzt hat, um zwischen dem 10. Juni und dem 17. Juni 4,67 Millionen Dollar in Wrapped Tokens abzuziehen. Das Konzept der "Infinite-Mint"-Fehler ( #SmartContractSecurity). Infinite-Mint-Fehler treten auf, wenn Smart Contracts es ermöglichen, Tokens unbegrenzt zu minten, wodurch böswillige Akteure in der Lage sind, kontinuierlich Gelder abzuziehen. Das reale Beispiel für Unsicherheit ( #BlockchainSecurity). Der Secret Network-Axelar-Exploits ist eine harte Erinnerung an die Bedeutung robuster Smart Contract-Entwicklung, da eine einzige Schwachstelle Millionen kosten kann. Die Lektion - Sichere deine Smart Contracts ( #WriteToEarn). Überprüfe deine Smart Contracts und stelle sicher, dass sie keine Schwachstellen haben, die ein Angreifer ausnutzen kann. Was denkst du, ist der beste Weg, um ähnliche Hacks im Krypto-Bereich zu verhindern?
Stell dir vor, du hast eine digitale Tür weit offen gelassen, sodass Hacker einfach reinspazieren können, und es hat eine ganze Woche gedauert, bis jemand es bemerkt hat.

Genau das ist mit dem Cross-Chain-Bridge von Secret Network zu Axelar passiert, als ein Angreifer einen jahrelangen Minting-Fehler in einem CW20-ICS20-Vertrag ausgenutzt hat, um zwischen dem 10. Juni und dem 17. Juni 4,67 Millionen Dollar in Wrapped Tokens abzuziehen.

Das Konzept der "Infinite-Mint"-Fehler ( #SmartContractSecurity). Infinite-Mint-Fehler treten auf, wenn Smart Contracts es ermöglichen, Tokens unbegrenzt zu minten, wodurch böswillige Akteure in der Lage sind, kontinuierlich Gelder abzuziehen.

Das reale Beispiel für Unsicherheit ( #BlockchainSecurity). Der Secret Network-Axelar-Exploits ist eine harte Erinnerung an die Bedeutung robuster Smart Contract-Entwicklung, da eine einzige Schwachstelle Millionen kosten kann.

Die Lektion - Sichere deine Smart Contracts ( #WriteToEarn). Überprüfe deine Smart Contracts und stelle sicher, dass sie keine Schwachstellen haben, die ein Angreifer ausnutzen kann.

Was denkst du, ist der beste Weg, um ähnliche Hacks im Krypto-Bereich zu verhindern?
$BNB CHAIN JUST SAW A 1.11M USD EXPLOIT ON PANCAKESWAP V2 🔥 Einstieg: 291.23 Der kürzlich gemeldete Exploit auf PancakeSwap V2 hat Bedenken hinsichtlich der Sicherheit von DeFi-Protokollen aufkommen lassen. Wird dieses Ereignis eine Welle von Security-Audits und Verbesserungen in der Branche auslösen, oder stehen wir noch vor weiteren Überraschungen? Keine Finanzberatung. Verwalte dein Risiko. #BNB #DeFiExploits #SmartContractSecurity ⚠️
$BNB CHAIN JUST SAW A 1.11M USD EXPLOIT ON PANCAKESWAP V2 🔥

Einstieg: 291.23
Der kürzlich gemeldete Exploit auf PancakeSwap V2 hat Bedenken hinsichtlich der Sicherheit von DeFi-Protokollen aufkommen lassen. Wird dieses Ereignis eine Welle von Security-Audits und Verbesserungen in der Branche auslösen, oder stehen wir noch vor weiteren Überraschungen?

Keine Finanzberatung. Verwalte dein Risiko.
#BNB #DeFiExploits #SmartContractSecurity
⚠️
Übersetzung ansehen
Aztec Labs investigates a potential vulnerability incident affecting a deprecated payment product, with approximately $2 million drained from an immutable smart contract, and this news may impact $ETH prices 🔥 Entry: 1700 Target: 1800 🚀 Stop Loss: 1600 ⚠️ The incident is a reminder of the importance of security in the crypto space, and investors should be cautious when dealing with smart contracts. Top-tier exchange listings can provide an added layer of security. Not financial advice. Manage your risk. #ETH #VulnerabilityIncident #SmartContractSecurity ✅
Aztec Labs investigates a potential vulnerability incident affecting a deprecated payment product, with approximately $2 million drained from an immutable smart contract, and this news may impact $ETH prices 🔥

Entry: 1700
Target: 1800 🚀
Stop Loss: 1600 ⚠️

The incident is a reminder of the importance of security in the crypto space, and investors should be cautious when dealing with smart contracts. Top-tier exchange listings can provide an added layer of security.

Not financial advice. Manage your risk.

#ETH #VulnerabilityIncident #SmartContractSecurity

"Die meisten Trader denken, dass das Hacking von Smart Contracts eine Sache der Vergangenheit ist. Nicht so schnell. Ein White-Hat-Hacker hat gerade $2M aus einem Jahrzehnte alten Hong Coin ICO Smart Contract Exploit zurückgewonnen, was mich dazu bringt, mich zu fragen, wie viele weitere verborgene Schwachstellen darauf warten, aufgedeckt zu werden. #SmartContractSecurity #HackingRecovery #DeFi Das Signal ist klar: alte Smart Contracts sind genauso anfällig für Ausbeutung wie frisch bereitgestellte. Diese Offenbarung sollte jedem DeFi-Investor einen Schauer über den Rücken jagen. Die Interpretation? Das ist kein Einzelfall. Wir haben mehrere Fälle gesehen, in denen alte Verträge aufgrund von Sicherheitsverletzungen abgeschaltet wurden. Mit immer mehr Protokollen, die täglich neue Technologien übernehmen, wird alter Code zur tickenden Zeitbombe. Die Beobachtungsliste: Behalte Smart Contracts, die älter als 2017 sind, genau im Auge. Wenn du Long-Positionen auf Coins hast, die an Legacy-Code gebunden sind, solltest du vielleicht deine Position überdenken. Hast du ein DeFi-Asset, das möglicherweise eine tickende Zeitbombe verbirgt?"
"Die meisten Trader denken, dass das Hacking von Smart Contracts eine Sache der Vergangenheit ist. Nicht so schnell.

Ein White-Hat-Hacker hat gerade $2M aus einem Jahrzehnte alten Hong Coin ICO Smart Contract Exploit zurückgewonnen, was mich dazu bringt, mich zu fragen, wie viele weitere verborgene Schwachstellen darauf warten, aufgedeckt zu werden.

#SmartContractSecurity #HackingRecovery #DeFi

Das Signal ist klar: alte Smart Contracts sind genauso anfällig für Ausbeutung wie frisch bereitgestellte. Diese Offenbarung sollte jedem DeFi-Investor einen Schauer über den Rücken jagen.

Die Interpretation? Das ist kein Einzelfall. Wir haben mehrere Fälle gesehen, in denen alte Verträge aufgrund von Sicherheitsverletzungen abgeschaltet wurden. Mit immer mehr Protokollen, die täglich neue Technologien übernehmen, wird alter Code zur tickenden Zeitbombe.

Die Beobachtungsliste: Behalte Smart Contracts, die älter als 2017 sind, genau im Auge. Wenn du Long-Positionen auf Coins hast, die an Legacy-Code gebunden sind, solltest du vielleicht deine Position überdenken.

Hast du ein DeFi-Asset, das möglicherweise eine tickende Zeitbombe verbirgt?"
Verifiziert
⚠️ MARKT ALARM !!! CO-FOUNDER VON OPENZEPPELIN: ALLES DEFI IST UNSICHER 🔥 Manuel Aráoz — Mitbegründer von OpenZeppelin — behauptet, dass er glaubt, "alles DeFi ist unsicher", da KI-Coding-Agenten überlegene Fähigkeiten erlangt haben, um Schwachstellen in Smart Contracts zu entdecken 🛠 Er hat persönlich Freunden und Familie geraten, ihr ganzes Kapital aus DeFi-Positionen abzuziehen 💰 OpenZeppelin ist eines der führenden Sicherheitsunternehmen im Krypto-Bereich und hat bereits Audits für Aave, Compound, MakerDAO, Uniswap und viele große Projekte durchgeführt 📊 Wenn jemand aus der Sicherheitsbranche warnt, sollte man das nicht auf die leichte Schulter nehmen. Dennoch läuft DeFi weiterhin normal — der Markt wird das tatsächliche Risiko selbst bewerten. #DeFi #SmartContractSecurity $AAVE $UNI $PLAY
⚠️ MARKT ALARM !!!

CO-FOUNDER VON OPENZEPPELIN: ALLES DEFI IST UNSICHER 🔥

Manuel Aráoz — Mitbegründer von OpenZeppelin — behauptet, dass er glaubt, "alles DeFi ist unsicher", da KI-Coding-Agenten überlegene Fähigkeiten erlangt haben, um Schwachstellen in Smart Contracts zu entdecken 🛠

Er hat persönlich Freunden und Familie geraten, ihr ganzes Kapital aus DeFi-Positionen abzuziehen 💰

OpenZeppelin ist eines der führenden Sicherheitsunternehmen im Krypto-Bereich und hat bereits Audits für Aave, Compound, MakerDAO, Uniswap und viele große Projekte durchgeführt 📊

Wenn jemand aus der Sicherheitsbranche warnt, sollte man das nicht auf die leichte Schulter nehmen. Dennoch läuft DeFi weiterhin normal — der Markt wird das tatsächliche Risiko selbst bewerten.

#DeFi #SmartContractSecurity

$AAVE $UNI $PLAY
·
--
Bullisch
🛡️ Warum dein Krypto-Portfolio immer noch anfällig ist (Und wie du es beheben kannst) In der schnelllebigen Welt der Kryptos ist dein größter Feind nicht nur die Marktvolatilität – es ist Sophisticated Social Engineering. Als Entwickler und ethischer Hacker habe ich analysiert, wie Angreifer Retail-Investoren ins Visier nehmen. Hier ist die technische Realität, die die meisten ignorieren: 1. Die API-Schlüssel-Falle: Gewähre niemals "Abhebungs"-Berechtigungen an Drittanbieter-Trading-Bots, es sei denn, es ist absolut notwendig. Ein geleakter API-Schlüssel ist eine offene Tür für Hacker, um dein Wallet in Sekunden zu leeren. 2. Metadata-Leaks: Screenshots von deinem Portfolio? Stelle sicher, dass du EXIF-Daten entfernst. Hacker können manchmal Standort- oder Geräteinformationen aus rohen Bilddateien extrahieren. 3. Das "Cloud"-Risiko: Deine privaten Schlüssel oder Seed-Phrasen in Notizen, Google Drive oder E-Mail-Entwürfen zu speichern, ist ein Todesurteil. Nutze ein offline luftdichtes Gerät oder eine physische Hardware-Wallet. 4. 2FA-Hygiene: Wechsle sofort von SMS-basiertem 2FA weg. Wenn deine SIM-Karte gewechselt werden kann, kann dein 2FA umgangen werden. Wechsle zu einer Authenticator-App (z. B. Google Authenticator oder Authy) oder einem YubiKey. Pro-Tipp für Builder: Wenn du Trading-Automatisierungstools verwendest, prüfe immer die Bibliotheksabhängigkeiten in deinen Python-Skripten. Böswillige Pakete werden in gängigen Repositories infiltriert, um Umgebungsvariablen zu stehlen. Sicherheit ist kein einmaliges Setup; es ist eine Gewohnheit. Hinterlasse einen Kommentar, wenn du wissen möchtest, wie du deine eigenen Smart-Contract-Interaktionen auf versteckte Berechtigungen überprüfen kannst! 🚀 #BinanceSquare #CryptoSecurity #CyberSecurity #RDXHUNTER #Web3 #SmartContractSecurity
🛡️ Warum dein Krypto-Portfolio immer noch anfällig ist (Und wie du es beheben kannst)

In der schnelllebigen Welt der Kryptos ist dein größter Feind nicht nur die Marktvolatilität – es ist Sophisticated Social Engineering.

Als Entwickler und ethischer Hacker habe ich analysiert, wie Angreifer Retail-Investoren ins Visier nehmen. Hier ist die technische Realität, die die meisten ignorieren:

1. Die API-Schlüssel-Falle: Gewähre niemals "Abhebungs"-Berechtigungen an Drittanbieter-Trading-Bots, es sei denn, es ist absolut notwendig. Ein geleakter API-Schlüssel ist eine offene Tür für Hacker, um dein Wallet in Sekunden zu leeren.
2. Metadata-Leaks: Screenshots von deinem Portfolio? Stelle sicher, dass du EXIF-Daten entfernst. Hacker können manchmal Standort- oder Geräteinformationen aus rohen Bilddateien extrahieren.
3. Das "Cloud"-Risiko: Deine privaten Schlüssel oder Seed-Phrasen in Notizen, Google Drive oder E-Mail-Entwürfen zu speichern, ist ein Todesurteil. Nutze ein offline luftdichtes Gerät oder eine physische Hardware-Wallet.
4. 2FA-Hygiene: Wechsle sofort von SMS-basiertem 2FA weg. Wenn deine SIM-Karte gewechselt werden kann, kann dein 2FA umgangen werden. Wechsle zu einer Authenticator-App (z. B. Google Authenticator oder Authy) oder einem YubiKey.

Pro-Tipp für Builder: Wenn du Trading-Automatisierungstools verwendest, prüfe immer die Bibliotheksabhängigkeiten in deinen Python-Skripten. Böswillige Pakete werden in gängigen Repositories infiltriert, um Umgebungsvariablen zu stehlen.

Sicherheit ist kein einmaliges Setup; es ist eine Gewohnheit.

Hinterlasse einen Kommentar, wenn du wissen möchtest, wie du deine eigenen Smart-Contract-Interaktionen auf versteckte Berechtigungen überprüfen kannst! 🚀

#BinanceSquare #CryptoSecurity #CyberSecurity #RDXHUNTER #Web3 #SmartContractSecurity
Anmelden und weiter Inhalte entdecken
Krypto-Nutzer weltweit auf Binance Square kennenlernen
⚡️ Bleib in Sachen Krypto stets am Puls.
💬 Die weltgrößte Kryptobörse vertraut darauf.
👍 Erhalte verlässliche Einblicke von verifizierten Creators.
E-Mail-Adresse/Telefonnummer