专题研究N1880:区块链人物Qiuyue
专题研究N1880:区块链人物qiuyue
按:离五月初集中整理四月份融资的区块链项目还有半个月左右,三月份融资的区块链项目和之前积累的项目都研究完结了(去年年底还有好几百个专题积累),还是比较高兴的;利用这段时间,把在研究过程上,不是融资的项目但近期比较火的、相关区块链名人(这些我都在浏览器单独建立收藏夹收藏起来的)的这些,大约有几十个左右,也整理研究一下(我喜欢将计划的东西一件件做好);作为对主逻辑研究的受到融资的项目的补充(这些一般也是在研究这些融资项目过程中关联的)。此志。
qiuyue,
@qiushui777,
闭口治世之贤良,张口乱世之枭雄。
2017年3月 加入,
379 正在关注,
634 关注者,
etherscan.io/address/0x0a4003920f5549117848d257302583f6ece16c30
大声笑不知道这个联合令牌是什么。但是 v3 池耗尽了。上午10:03 · 2022年4月3日
隐藏 alpha 与寻找 alpha 😭一样重要,
上午10:24 · 2022年3月26日
etherscan.io/address/0x314ebf07178705e4ec183b8300db4b246cb42ec5这里有一名黑客。 43 eth 不见了。您可以向链上的用户发送消息,或者在已批准路由器的用户上进行块扫描聊天。下午10:41 · 2022年3月12日
0xa63f94C874Dfae5Ee27C90AF093c0E3b8A3F2695,
xdd 任意刻录令牌攻击。这家伙居然直接从币安转账
etherscan.io/address/0x00c956c881301292cf5b58177a5929ef7769a797
机器人操作员被空投了这么多wtf
给自己定一个规则,下次我看到一个已经支付了超过 50% 贿赂的 alpha 时,我会忽略它并继续寻找新的 alpha。
《eth合约自动化安全测试》
有意思
IEEE不愧是工程师的殿堂
上次参加IEEE还在讲ZEC
实际上自动合约安全测试
国内的360,慢雾,知道创宇等均有研究
但是大部分的0day不会公布
这些属于公司研究成果,
https://arxiv.org/pdf/2104.08638
国内出金其实交易所(或稳定币公司)直接提现到自己账户(或者虚拟账户)是最安全的方法,完全与otc 商家隔离,而且合法合规,但缺点是每人每年5万刀的限制,还有一些学习成本。
下午12:33 · 2022年1月3日
etherscan.io/address/0x08d7541094d7eeba614d66fc6402858346d30a15#code索引令牌 arb,一个非常古老的 alpha。甚至有人上传了这个 arb 😅的源代码。这个 alpha 的最新进展是找出索引令牌的最佳路径。就像现在的 1inch 一样。
@VisorFinance
既然你在不和谐中禁止了我,请让你知道我又遇到了一个奇怪的 tx。
https://etherscan.io/tx/0x70c8805885df032e508dc1c54d96f3aac90cef99b4649933bad0f52f83653212
同一个所有者()和delegatedTransferERC20 ()像昨天的攻击一样再次绕过。但放轻松,我认为他不到 40k。为了更清楚地说明,攻击者调用 extractTokens ()函数 3 次,以在此处(0x4682812CCecc5AE94CBC874E91b02020a0E96F79)将一些 weth 提取回 extract 合约,因此它有足够的余额将 weth 作为奖励令牌发送给攻击者。由于 IVault (hypervisor).withdraw (withdrawShares, to, address (this)) 烧毁了自己的股份并将赎回代币发送给攻击者,即使他在管理程序中没有股份(0x5230371A6D5311b1D7Dd30C0f5474c2eF0a24661),他也可以触发提款。
xdd,真的吗?他们称之为空投?他们认为所有用户都是傻瓜吗?
存款()函数中的重入攻击,攻击者轻松绕过所有者()检查和委托TransferERC20 ()调用。etherscan.io/tx/0x3ff2fc82a77e34bc97887589e08a69f3db4dbf45781458b2654e741f75e466a5这家伙半小时就复制了攻击,带着360k的面罩走了,面罩代币还没卖。但这不是一个大数目,所以也许没有人会在意
etherscan.io/tx/0x3ff2fc82a77e34bc97887589e08a69f3db4dbf45781458b2654e741f75e466a5这家伙半小时就复制了攻击,带着360k的面罩走了,面罩代币还没卖。但这不是一个大数目,所以也许没有人会在意
真是好内容。其中一些内容是我去年在电脑前几天才弄明白的。它也提醒我,自从我加入这场内存池大战以来已经过去了一年多。收获如此多,错过也如此多,希望明年我会做得更好。这游戏肯定会更难,我的bots衰减的非常快,这几天让我很郁闷,但总会有机会的。它不会消失,它只是藏在我没找到的地方。
很有见地的帖子。当你们昨天发布真相时,用户开始相信存在风险。应该有更多像您这样的团队来帮助保护区块链世界。
这是一个关于@VisorFinance
hack 的有趣故事。昨天早上,我醒来检查了我那破烂的闪贷监视器。找到这个
https://etherscan.io/tx/0x4208ef772b9ecb7a0494510101525e765240568d3788bab555942d344b984f67
经过一番研究,由于他们的 univ3 oracle bug,我意识到这是一次真正的闪贷攻击,所以我遇到了他们的不和,想找到一些开发人员并让他们修复错误。我注意到余额不多(这是我的错误,因为他们将代币存入 uni v3)并发现他们的管理员已将某些池的存款限制设置为 1。所以我认为协议是安全的。这就是为什么我只是在他们不和谐的一般频道中问为什么没有人谈论这个。大约 10 分钟后,没有人回应。我发布了 tx 并在 Twitter 上发帖以引起他们的注意。之后是有趣的部分。他们的工作人员开始说我是fud,“白痴”,“小丑”。没有人相信我。但我是白帽子,所以我是来帮忙的。我尽力解释发生了什么。尽管如此,他们仍称我为傻瓜。然后我删除了所有的消息。因为如果有其他资金池易受攻击,仍然有资金处于风险之中。其次,我不想与这些愚蠢的经理一起帮助一个项目。好吧,我继续我的工作,出去运动。几个小时后我回来的时候。还有一些其他池受到攻击。etherscan.io/address/0x89640eb6c8d72606d6a0fff45415bff0ab0e3ae1
这里是。他带着 80+ eth 离开了。我就像“什么”?他们仍然打开那些游泳池??
好的,visitor 已经联系我将近半个小时了。他们声称这是一种套利,而不是快速贷款。至于cvx pool,没有人可以存款。但对我https://etherscan.io/tx/0xc2104896231ed5ad66e880f046d9973a0b85e28d5534f3e7213bbb41e83f7316来说,这个 tx 中的这个人存入了 200 CVX。我的分析在上面,你们自己决定信任谁。我删除了用户资金丢失的部分。他们说,存入 ohm-eth 池的人是列入白名单的人。他们自己的钱。他们说没有资金损失。对于 CVX 池,这可能是真的。因为我看到没有用户存款,而且里面的钱是他们自己的资金。线程的结束。检查那些交易,“没有闪电贷款”,“人们不能存款”,我在撒谎还是你在撒谎?下次你叫别人小丑,也许你就是小丑,
上午9:48 · 2021年11月27日·
WNXM 案例研究:非对称交易https://defieducation.substack.com/p/wnxm-case-study-breakdown-of-an-asymmetric?utm_campaign=post&utm_medium=web&utm_source=twitter的细分 非常好的文章,arb 并不总是原子的。这些天原子套利越来越难,但这些套利可能隐藏在某个地方。
在看到这个之后,我检查了一个被炒作的元界项目的代码,并立即意识到他们的合约也没有重入保护,支付令牌(erc20)重入攻击可能会破坏所有的 erc1155 令牌。但 ...在我花了一些时间在 poc 上后,我意识到他们已将支付令牌列入白名单。 XDD。腰围 1 小时😂
有趣的是,这是很多gas费。如果不是内部人员,没有人会这样做。
@bertcmiller
@imagine_mev
你们可能会对这个感兴趣XD,
0x1337b9d19694E68760EEeEDd022237d4D07754b2,
0xaAbB8549bD3950704dAd65f01bD0475b18D4a5Ff
,
他一直在利用非常古老的合约的 v2 回调函数,
所以我的想法是,他一定开发了一些工具来检测这个错误。因为如果手动的话,我认为他不会尝试反编译一些平衡性低的目标和一些OG机器人。更有趣的是,他帮助一些 addrs 申请 UNI,然后从中窃取。像这个,
所以检查你的旧合同。也许,我猜下一个目标是 v3 回调。但是可能没有这么多,因为距离 v3 发布只有几个月的时间。我认为他甚至能够在一些有回调的项目(不是机器人)中找到一些错误。
hecoinfo.com/address/0xcd84Ad25f8f143Ed57D6AcadeBF06Eb4CD3ad736
heco上的“战利品”。但是,没有社区,它只是一段代码。因此,无用
通过#Goerli #Ethereum测试网络向 0x999E60735Cf70730Cb63976B1eBb760E6177a7A0 请求水龙头资金,
下午3:12 · 2021年6月12日
etherscan.io/address/0x5e6732d6416d3f3a6574b61ef1c81316cf8d9287,
Ethermine 定义了自己的 mev 逻辑?当这个机器人被 Ethermine 开采时,它会把所有的钱都给矿工。
当你没有存档节点,想用 ganache-cli 在特定高度分叉主网时,你必须解锁一些账户才能一一设置一些参数。
heco 上的这个机器人很聪明。您无法真正触发它以大投入购买。应该是被攻击过一次吧。更重要的是,如果您从节点发送 tx,您将无法触发它。