简要因为前面分析的 Daoswap EXP 的攻击者是SpaceGodzilla Exploiter，说明这个攻击者之前还攻击过SpaceGodzilla。通过调用栈分析，发现攻击合约的结构大致相似，趁此机会，就一并分析下漏洞原理。 SpaceGodzilla同时具有代币和AMM的功能，黑客利用了其 ...

说明前面分析了两个漏洞，都是获取奖励的漏洞。这些漏洞最大的问题仅仅只是通过balanceOf计算账户的余额，然后根据余额的大小以此发送代币奖励。本篇文章讲解的DaoSwap的漏洞基本上前面两者的漏洞一致，不同的地方是在于，DaoSwap是根据swap的金额的大小，从而发送奖励。 合约分析 DaoRo ...

说明前面分享了一个有关ATK代币获取奖励的漏洞，本质上还是对于获取奖励机制的方法太过于简单。本篇文章分享的NewFreeDao也是奖励机制存在问题，和ATK的漏洞一样，存在漏洞的合约也是一个闭源合约，但还是被攻击了。 漏洞合约是一个闭源合约，0x8B068E22E9a4A9bcA3C321e0ec4 ...

说明网络上没有明确地对于这个漏洞分析，仅有blocksecteam发布的一条twitter状态，ATK on BSC was attacked。后面经过对于ATK和相关的合约分析，最终确认是一个邀请获取奖励的漏洞。 漏洞合约是一个闭源合约，ATK代币只是合约用来查看用户的ATK代币的数量用于确定发放 ...

说明关键的漏洞点是在于Carrot中的transReward函数。代码如下： 12345678910111213contract token is ERC20 { address internal pool = address(0); .... function initP ...

漏洞说明 Foresight News 消息，据慢雾安全团队情报, 2022 年 10 月 11 号，以太坊链上的 Rabby 钱包项目的 Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue ...

说明RLP (递归长度前缀)提供了一种适用于任意二进制数据数组的编码，RLP已经成为以太坊中对对象进行序列化的主要编码方式。 实现原理RLP 编码会对字符串和列表进行序列化操作，具体的编码流程如下图： 当然，目前在Web3中的python库和Javascript库中已经集成了RLP的编码方法。 ...

说明现实生活中，如果我们需要借款一般都是需要担保或者是抵押，而且这些贷款需要有很复杂的流程，包括对你的资质的审查，你的抵押物的价值的评估，你的个人的还款能力，你个人的的资产等等，如果现实生活中大家如果有买房或者是买车的经验的话，对这些都应该有深刻的体会。 除此之外，目前很多银行APP中也提供了闪电贷 ...