Binance Square
#smartcontractsecurity

smartcontractsecurity

4,010 vues
49 mentions
三丈坟头草
·
--
Voir la traduction
Summer.fi 610 万美元被闪电贷带走,问题不在链上流动性,而在一行"信任"。 攻击者闪电贷 6540 万 USDC + 100 万 USDT,先把 6480 万 USDC 存入 Fleet Commander 拿到份额,再直接把 SiloVault 份额塞进 Silo Finance 管理的策略合约 Ark,跳过正常存款路径,把 Ark 余额从 0 直接"捐"到 714 万美元。 Fleet Commander 计算 totalAssets 时完全采信 Ark 自报的原始余额,没有任何内部校验,于是攻击者顺势赎回 7100 万 USDC,单笔交易净赚约 610 万美元离场。 Onchain Lens 定性为跨合约 ERC-4626 捐赠攻击。这类漏洞的本质,是 vault 把策略合约当成"可信预言机",而 ERC-4626 标准本身并未强制隔离外部转入与真实入金。 给持仓者的三点提醒: 1. 关注所用协议是否对策略层做独立会计,而不是直接读 balanceOf 2. 收益率异常拉升的 vault,先看 TVL 构成再谈 APY 3. 闪电贷 + 份额膨胀,是近两年 DeFi 最高频的组合拳,别再当黑天鹅 代码信任不是安全,验证才是。 #DeFi #SmartContractSecurity #ERC4626
Summer.fi 610 万美元被闪电贷带走,问题不在链上流动性,而在一行"信任"。

攻击者闪电贷 6540 万 USDC + 100 万 USDT,先把 6480 万 USDC 存入 Fleet Commander 拿到份额,再直接把 SiloVault 份额塞进 Silo Finance 管理的策略合约 Ark,跳过正常存款路径,把 Ark 余额从 0 直接"捐"到 714 万美元。

Fleet Commander 计算 totalAssets 时完全采信 Ark 自报的原始余额,没有任何内部校验,于是攻击者顺势赎回 7100 万 USDC,单笔交易净赚约 610 万美元离场。

Onchain Lens 定性为跨合约 ERC-4626 捐赠攻击。这类漏洞的本质,是 vault 把策略合约当成"可信预言机",而 ERC-4626 标准本身并未强制隔离外部转入与真实入金。

给持仓者的三点提醒:
1. 关注所用协议是否对策略层做独立会计,而不是直接读 balanceOf
2. 收益率异常拉升的 vault,先看 TVL 构成再谈 APY
3. 闪电贷 + 份额膨胀,是近两年 DeFi 最高频的组合拳,别再当黑天鹅

代码信任不是安全,验证才是。

#DeFi #SmartContractSecurity #ERC4626
Imagine si tu laissais une porte numérique grande ouverte pour que les hackers puissent entrer, et qu'il a fallu une semaine entière avant que quelqu'un ne s'en aperçoive. C'est ce qui est arrivé au pont inter-chaînes de Secret Network vers Axelar, lorsqu'un attaquant a exploité un défaut de minting vieux de plusieurs années dans un contrat CW20-ICS20 pour siphonner 4,67 millions de dollars en tokens enveloppés entre le 10 juin et le 17 juin. Le concept de "défauts de minting infini" ( #SécuritéDesContratsIntelligents). Les défauts de minting infini se produisent lorsque les contrats intelligents permettent de mint des tokens indéfiniment, permettant à des acteurs malveillants de siphonner continuellement des fonds. L'exemple concret d'insécurité ( #SécuritéBlockchain). L'exploitation de Secret Network-Axelar est un rappel sévère de l'importance d'un développement robuste des contrats intelligents, car une seule vulnérabilité peut coûter des millions. La leçon à retenir - Sécurise tes contrats intelligents ( #WriteToEarn). Passe en revue tes contrats intelligents et assure-toi qu'ils n'ont pas de vulnérabilités que des attaquants pourraient exploiter. Que penses-tu qu'il soit le meilleur moyen de prévenir des hacks similaires dans l'espace crypto ?
Imagine si tu laissais une porte numérique grande ouverte pour que les hackers puissent entrer, et qu'il a fallu une semaine entière avant que quelqu'un ne s'en aperçoive.

C'est ce qui est arrivé au pont inter-chaînes de Secret Network vers Axelar, lorsqu'un attaquant a exploité un défaut de minting vieux de plusieurs années dans un contrat CW20-ICS20 pour siphonner 4,67 millions de dollars en tokens enveloppés entre le 10 juin et le 17 juin.

Le concept de "défauts de minting infini" ( #SécuritéDesContratsIntelligents). Les défauts de minting infini se produisent lorsque les contrats intelligents permettent de mint des tokens indéfiniment, permettant à des acteurs malveillants de siphonner continuellement des fonds.

L'exemple concret d'insécurité ( #SécuritéBlockchain). L'exploitation de Secret Network-Axelar est un rappel sévère de l'importance d'un développement robuste des contrats intelligents, car une seule vulnérabilité peut coûter des millions.

La leçon à retenir - Sécurise tes contrats intelligents ( #WriteToEarn). Passe en revue tes contrats intelligents et assure-toi qu'ils n'ont pas de vulnérabilités que des attaquants pourraient exploiter.

Que penses-tu qu'il soit le meilleur moyen de prévenir des hacks similaires dans l'espace crypto ?
$BNB CHAIN VIENT DE SUBIR UN EXPLOIT DE 1,11 MILLIONS USD SUR PANCAKESWAP V2 🔥 Point d'entrée : 291,23 Le récent exploit sur PancakeSwap V2 a soulevé des inquiétudes concernant la sécurité des protocoles DeFi, cet événement va-t-il déclencher une vague d'audits de sécurité et d'améliorations dans l'espace, ou allons-nous avoir d'autres surprises ? Ce n'est pas un conseil financier. Gérez votre risque. #BNB #DeFiExploits #SmartContractSecurity ⚠️
$BNB CHAIN VIENT DE SUBIR UN EXPLOIT DE 1,11 MILLIONS USD SUR PANCAKESWAP V2 🔥

Point d'entrée : 291,23
Le récent exploit sur PancakeSwap V2 a soulevé des inquiétudes concernant la sécurité des protocoles DeFi, cet événement va-t-il déclencher une vague d'audits de sécurité et d'améliorations dans l'espace, ou allons-nous avoir d'autres surprises ?

Ce n'est pas un conseil financier. Gérez votre risque.
#BNB #DeFiExploits #SmartContractSecurity
⚠️
Aztec Labs enquête sur un potentiel incident de vulnérabilité affectant un produit de paiement obsolète, avec environ 2 millions de dollars siphonnés d'un smart contract immuable, et cette nouvelle pourrait impacter $ETH les prix 🔥 Entrée : 1700 Cible : 1800 🚀 Stop Loss : 1600 ⚠️ L'incident rappelle l'importance de la sécurité dans le space crypto, et les investisseurs devraient être prudents lorsqu'ils traitent avec des smart contracts. Les cotations sur des exchanges de premier plan peuvent offrir une couche de sécurité supplémentaire. Ce n'est pas un conseil financier. Gérez votre risque. #ETH #VulnerabilityIncident #SmartContractSecurity ✅
Aztec Labs enquête sur un potentiel incident de vulnérabilité affectant un produit de paiement obsolète, avec environ 2 millions de dollars siphonnés d'un smart contract immuable, et cette nouvelle pourrait impacter $ETH les prix 🔥

Entrée : 1700
Cible : 1800 🚀
Stop Loss : 1600 ⚠️

L'incident rappelle l'importance de la sécurité dans le space crypto, et les investisseurs devraient être prudents lorsqu'ils traitent avec des smart contracts. Les cotations sur des exchanges de premier plan peuvent offrir une couche de sécurité supplémentaire.

Ce n'est pas un conseil financier. Gérez votre risque.

#ETH #VulnerabilityIncident #SmartContractSecurity

"La plupart des traders pensent que le hacking des smart contracts est une chose du passé. Pas si vite. Un hacker white-hat vient de récupérer 2 millions de dollars d'une exploitation de smart contract de l'ICO Hong Coin datant d'une décennie, ce qui me pousse à me demander combien d'autres vulnérabilités cachées attendent d'être découvertes. #SmartContractSecurity #HackingRecovery #DeFi Le signal est clair : les vieux smart contracts sont tout aussi vulnérables à l'exploitation que ceux fraîchement déployés. Cette révélation devrait glacer le sang de chaque investisseur en DeFi. L'interprétation ? Ce n'est pas un incident isolé. Nous avons vu de multiples cas de vieux contrats être mis à terre en raison de violations de sécurité. Avec de plus en plus de protocoles adoptant de nouvelles technologies chaque jour, l'ancien code devient une bombe à retardement. La liste de surveillance : gardez un œil attentif sur les smart contracts plus anciens que 2017. Si vous êtes long sur des coins liés à du code hérité, vous devriez peut-être reconsidérer votre position. Avez-vous un actif DeFi qui pourrait cacher une bombe à retardement ?"
"La plupart des traders pensent que le hacking des smart contracts est une chose du passé. Pas si vite.

Un hacker white-hat vient de récupérer 2 millions de dollars d'une exploitation de smart contract de l'ICO Hong Coin datant d'une décennie, ce qui me pousse à me demander combien d'autres vulnérabilités cachées attendent d'être découvertes.

#SmartContractSecurity #HackingRecovery #DeFi

Le signal est clair : les vieux smart contracts sont tout aussi vulnérables à l'exploitation que ceux fraîchement déployés. Cette révélation devrait glacer le sang de chaque investisseur en DeFi.

L'interprétation ? Ce n'est pas un incident isolé. Nous avons vu de multiples cas de vieux contrats être mis à terre en raison de violations de sécurité. Avec de plus en plus de protocoles adoptant de nouvelles technologies chaque jour, l'ancien code devient une bombe à retardement.

La liste de surveillance : gardez un œil attentif sur les smart contracts plus anciens que 2017. Si vous êtes long sur des coins liés à du code hérité, vous devriez peut-être reconsidérer votre position.

Avez-vous un actif DeFi qui pourrait cacher une bombe à retardement ?"
Vérifié
⚠️ ALERTE DU MARCHÉ !!! CO-FONDATEUR D'OPENZEPPELIN : TOUTE LA DEFI N'EST PAS SÉCURISÉE 🔥 Manuel Aráoz — co-fondateur d'OpenZeppelin — déclare qu'il pense que "toute la DeFi est insécure" car les agents de codage IA ont atteint une capacité supérieure à détecter les vulnérabilités des smart contracts 🛠 Il a personnellement conseillé à ses amis et sa famille de retirer tous leurs fonds de leurs positions DeFi 💰 OpenZeppelin est l'une des entreprises de sécurité crypto les plus réputées, ayant audité Aave, Compound, MakerDAO, Uniswap et de nombreux grands projets 📊 Lorsque des acteurs de l'industrie de la sécurité tirent la sonnette d'alarme, c'est un signal à ne pas prendre à la légère. Cependant, la DeFi continue de fonctionner normalement — le marché évaluera par lui-même le niveau de risque réel. #DeFi #SécuritéDesSmartContracts $AAVE $UNI $PLAY
⚠️ ALERTE DU MARCHÉ !!!

CO-FONDATEUR D'OPENZEPPELIN : TOUTE LA DEFI N'EST PAS SÉCURISÉE 🔥

Manuel Aráoz — co-fondateur d'OpenZeppelin — déclare qu'il pense que "toute la DeFi est insécure" car les agents de codage IA ont atteint une capacité supérieure à détecter les vulnérabilités des smart contracts 🛠

Il a personnellement conseillé à ses amis et sa famille de retirer tous leurs fonds de leurs positions DeFi 💰

OpenZeppelin est l'une des entreprises de sécurité crypto les plus réputées, ayant audité Aave, Compound, MakerDAO, Uniswap et de nombreux grands projets 📊

Lorsque des acteurs de l'industrie de la sécurité tirent la sonnette d'alarme, c'est un signal à ne pas prendre à la légère. Cependant, la DeFi continue de fonctionner normalement — le marché évaluera par lui-même le niveau de risque réel.

#DeFi #SécuritéDesSmartContracts

$AAVE $UNI $PLAY
·
--
Haussier
🛡️ Pourquoi votre portefeuille crypto est toujours vulnérable (et comment y remédier) Dans le monde rapide de la crypto, votre plus grand ennemi n'est pas seulement la volatilité du marché—c'est l'ingénierie sociale sophistiquée. En tant que développeur et hacker éthique, j'ai analysé comment les attaquants ciblent les investisseurs de détail. Voici la réalité technique que la plupart des gens ignorent : 1. Le piège de la clé API : Ne jamais accorder des permissions de "Retrait" aux bots de trading tiers à moins que ce ne soit absolument nécessaire. Une clé API fuitée est une porte ouverte pour les hackers afin de vider votre portefeuille en quelques secondes. 2. Fuites de métadonnées : Publier des captures d'écran de votre portefeuille ? Assurez-vous d'enlever les données EXIF. Les hackers peuvent parfois extraire des informations de localisation ou de dispositif à partir de fichiers image bruts. 3. Le risque du "Cloud" : Stocker vos clés privées ou phrases de récupération dans des Notes, Google Drive, ou brouillons d'email est une sentence de mort. Utilisez un appareil hors ligne isolé ou un portefeuille matériel physique. 4. Hygiène 2FA : Éloignez-vous des 2FA basés sur SMS immédiatement. Si votre SIM peut être échangée, votre 2FA peut être contourné. Passez à une application d'authentification (par exemple, Google Authenticator ou Authy) ou à un YubiKey. Astuce Pro pour les builders : Si vous utilisez des outils d'automatisation de trading, auditez toujours les dépendances de bibliothèque dans vos scripts Python. Des paquets malveillants sont injectés dans des dépôts communs pour voler des variables d'environnement. La sécurité n'est pas une configuration unique ; c'est une habitude. Laissez un commentaire ci-dessous si vous souhaitez savoir comment auditer vos propres interactions de contrat intelligent pour des permissions cachées ! 🚀 #BinanceSquare #CryptoSécurité #Cybersécurité #RDXHUNTER #Web3 #SmartContractSecurity
🛡️ Pourquoi votre portefeuille crypto est toujours vulnérable (et comment y remédier)

Dans le monde rapide de la crypto, votre plus grand ennemi n'est pas seulement la volatilité du marché—c'est l'ingénierie sociale sophistiquée.

En tant que développeur et hacker éthique, j'ai analysé comment les attaquants ciblent les investisseurs de détail. Voici la réalité technique que la plupart des gens ignorent :

1. Le piège de la clé API : Ne jamais accorder des permissions de "Retrait" aux bots de trading tiers à moins que ce ne soit absolument nécessaire. Une clé API fuitée est une porte ouverte pour les hackers afin de vider votre portefeuille en quelques secondes.
2. Fuites de métadonnées : Publier des captures d'écran de votre portefeuille ? Assurez-vous d'enlever les données EXIF. Les hackers peuvent parfois extraire des informations de localisation ou de dispositif à partir de fichiers image bruts.
3. Le risque du "Cloud" : Stocker vos clés privées ou phrases de récupération dans des Notes, Google Drive, ou brouillons d'email est une sentence de mort. Utilisez un appareil hors ligne isolé ou un portefeuille matériel physique.
4. Hygiène 2FA : Éloignez-vous des 2FA basés sur SMS immédiatement. Si votre SIM peut être échangée, votre 2FA peut être contourné. Passez à une application d'authentification (par exemple, Google Authenticator ou Authy) ou à un YubiKey.

Astuce Pro pour les builders : Si vous utilisez des outils d'automatisation de trading, auditez toujours les dépendances de bibliothèque dans vos scripts Python. Des paquets malveillants sont injectés dans des dépôts communs pour voler des variables d'environnement.

La sécurité n'est pas une configuration unique ; c'est une habitude.

Laissez un commentaire ci-dessous si vous souhaitez savoir comment auditer vos propres interactions de contrat intelligent pour des permissions cachées ! 🚀

#BinanceSquare #CryptoSécurité #Cybersécurité #RDXHUNTER #Web3 #SmartContractSecurity
Connectez-vous pour découvrir plus de contenu
Rejoignez la communauté mondiale des adeptes de cryptomonnaies sur Binance Square
⚡️ Suviez les dernières informations importantes sur les cryptomonnaies.
💬 Jugé digne de confiance par la plus grande plateforme d’échange de cryptomonnaies au monde.
👍 Découvrez les connaissances que partagent les créateurs vérifiés.
Adresse e-mail/Nº de téléphone