2月2日，一个名为Pandora的NFT碎片化项目上线，其核心技术为ERC404协议，一种结合了ERC20和ERC721的代币标准，具有原生流动性和NFT碎片化等特点。作为新推出的协议，ERC404引发了广泛的社区讨论，其首个项目Pandora的日交易量也突破5000万美元，更多基于ERC404或类似协议的项目也陆续上线。ERC404由于未经以太坊改进提案(EIP)和以太坊请求意见(ERC)的讨论和审查，直接向社区开源进行实验，其协议本身存在许多需要改进和修改的地方。Beosin安全团队今天将对ERC404的设计机制和合约代码进行详细分析，帮助用户了解ERC404协议。ERC404协议是什么？ERC404是“融合”了ERC20与ERC721两种代币标准的新型实验性协议。简单来讲，ERC404

版本有重入锁有漏洞，加上原生的ETH可以在转账时调callback，导致这几个和ETH组的lp池子可以被重入攻击。接着Curve官方推特发文表示，由于重入锁出现故障，许多使用

这两日，Web3领域再次发生了两起重大的安全事件，给整个行业带来了震动。这两起安全事件涉及的金额高达约一亿三千万美元，引发了广泛的关注和担忧。再次被黑客盯上的孙哥11月22日，据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，HECO

可以让合约持有者在紧急情况下对合约采取措施，保护用户资产，但缺乏时间锁可能会让这些函数被滥用。在此情况下，用户和安全公司对合约持有者的操作没有足够的反应时间。警惕钓鱼风险！除了合约风险外，由于

在加密货币世界中，山寨币的出现并不罕见。这些山寨币通常是以在市场上热门的项目为借口，试图吸引投资者的注意并获取利益。然而，他们往往缺乏真正的技术或可行的商业模型，其目的是欺骗和诈骗投资者的资金。近期，借由马斯克推出的

在_closePosition函数结束之后，第二阶段会调用_updateDebtAndCollateralIndex更新新的借贷利率。这里面的总债务量攻击者通过前面的清算已经减少了一半。

本文作者：Beosin安全研究专家Sivan闪电贷是一种无抵押借款的服务，由于其拥有无需抵押便能借出资金的特性，使得资金利用率大大提高。在常见的以太坊闪电贷中，是通过以太坊交易机制来保证可以进行无抵押借出资金，以太坊中一个交易可以包含很多步骤，如：借款、兑换、使用、还款等，所有的步骤相辅相成，若其中某一个或多个步骤出现错误，都将导致本次的整个交易被回滚。随着区块链生态发展，出现了大量公链以及合约编程语言，例如：除了Solidity之外最常见的Move和Rust，这些合约编程语言有本质上的区别，框架与编程理念也有所不同，本篇文章我们来对比一下Solidity闪电贷实现方式与Move以及Rust闪电贷实现方式有何不同，同时可以初步了解一下各种语言的编程理念。Solidity相关闪电贷：Solidity的闪电贷是基于Solidity支持动态调用这一特性来设计的，何为动态调用，也就是solidity支持在调用一个函数的过程中，动态传入需要调用的地址，如下例代码。每次调用都可以传入不同的地址，根据这个特点，便出现了solidity闪电贷的实现逻辑。function

使用的KZG承诺。而多项式计算不会自动对齐，因此如果电路缺乏约束会导致取值域与计算机程序中的字节范围不一致，在部分合约开发者开启了gas优化的情况下，数据的紧凑排列可能导致内存安全问题，如

的智能合约之间的调用是异步的。这样的设计提高了可拓展性，因为当一个智能合约调用另一个智能合约的函数时，这个调用不会立即执行，不需要在一个区块中处理完所有的交易。但同时异步性也增加了开发者在

身份验证：零知识证明可以用于验证用户的身份而无需透露敏感的个人信息。例如，一个人可以使用零知识证明向网络证明他们满足某个特定的年龄要求或拥有某种特定的证书，而无需揭示他们的确切年龄或其他身份信息。4

0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题，建议相关项目方进行自查。项目上线后，强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息，及时规避安全风险。6.3

market<u>@Beosin</u>.com

9月13日，香港证监会发布了一篇名为《有关不受规管的虚拟资产交易平台》的声明，表示虚拟资产交易平台JPEX未获得证监会牌照且JPEX没有向证监会申请牌照。次日，JPEX的社群发现JPEX平台的提币额度仅为1000USDT，而提币手续费高达999USDT，变相让用户无法出金。同时，JPEX在新加坡TOKEN2049大会的展位也人去楼空。JPEX风波开始在社交媒体蔓延。图源：X用户@joyxspacelatte9月19日，香港证监会举行新闻发布会，指出JPEX平台交易已停止运作。随后，JPEX在其平台发布公告称JPEX正配合条例和香港法规继续服务大众，所有交易功能一直正常运作。图源：JPEX官网目前，该事件的调查仍在进行中。我们通过Beosin

market<u>@Beosin</u>.com

0.75%。从六月份起开始有用户涌入；七月Bot用户数破百，再到破千；八月的用户高峰突破2000，截止目前9月初，日活在2500左右，占头部项目的用户总量的35%左右。目前累计的交易量，Banana

KYT追踪的盗币资金流向简图9月5日，加密博彩平台Stake.com发布公告称，平台所有服务已恢复，所有货币的存提款都在即时处理。这次事件让Stake.com在以太坊上被盗1570万美元，也在BNB

第一个方法无法完全解决这个问题，因为解压后的文件大小可以被伪造。所以我们可以传递一个固定大小的Buffer，解压过程中，如果数据大小超出Buffer的边界，那么就停止解压，返回失败信息。3

Kanetake受邀做客新加坡金融管理局（MAS），与近50名MAS内部人士开展了一场深度的技术分享会。在这次备受关注的培训中，Beosin资深安全专家Jasper

Proxy合约中，代理合约根据deposit的金额将数据转发至对应的Pool中，最后Pool合约将commitment作为叶子结点插入到merkle

$Pepe、$Ordi、$Aidoge。UNIBOT恰好是“一个土狗交易所”，为链上土狗玩家提供中心化交易所的服务，其代币$UNIBOT已经暴涨几十倍。投资者或投机者可能会声称在

第三步，由于余额更新在重入进add_liquidity函数之前，导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。

Ronin的四个验证器和一个第三方验证器被攻击者利用社会工程学所控制，随意提取协议资产，最终损失6亿美元。签名数据复用。主要是指提款凭证可以复用，多次提取资金。Gnosis

Network合约中的LOCK，将资金锁定后，再调用UnlockEvent和verifyHeaderAndExecuteTx两个函数，来对项目方实施攻击，案例如下：

KYT还提供定制化风险策略管理、AI智能虚拟资产路径追踪可视化、STR报告导出等功能。目前，已为多个国家和地区的机构、交易所、钱包公司等提供服务，合作客户包括Binance、OKX、HashKey

随着Web3技术的不断发展与普及，各种机遇与问题也不断出现。Beosin作为Web3业界安全与监管科技领先企业，通过提供智能合约安全审计、交易所安全、KYT反洗钱等解决方案来维护Web3生态的安全与合规。为了进一步提升业界对Web3最新发展的了解，并探讨相关技术面对的挑战与机遇，我们决定在香港与国际知名云服务商AWS联合举办一场Web3技术及发展趋势研讨会。2023年也是零知识证明技术（Zero-knowledge

Prover生成证明Groth16中证明的生成和验证都与双线性配对有关，双线性配对是在不暴露系数的情况下，证明椭圆曲线配对是否正确的方法。Groth16中使用的双线性配对包含三个椭圆曲线群，分别是

*本文作者：Beosin安全专家Poet目前该漏洞已被官方修复。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move语言2023年6月10日之后的版本修复了此漏洞。前言Move是一个新的区块链语言，被Aptos、Sui等公链使用。近期我们Beosin

*本文由Beosin特邀独立研究员菠菜菠菜！（twitter@wzxznl）与Beosin安全研究员Sivan共同创作发布。黑客，这是一个让Web3生态中每个人都闻风丧胆的存在，对于项目方来说，在全世界黑客都可能盯着你的情况下，代码开源的特性使得项目方开发的时候生怕写错一行代码留下漏洞，一旦出现安全事故后果难以承担。对于个人来说，如果你不懂得你正在做的操作意味着什么，那么你进行的每一个链上交互或签名都有可能使你的资产被盗。因此安全问题一直是加密世界中最头疼的问题之一，并且由于区块链的特性，一旦资产被盗几乎是没有办法可以追回的，所以在加密世界中具备安全知识尤其重要。就在最近，Beosin的好朋友菠菜发现了一个近两个月开始活跃的新钓鱼手法，只要签名就会被盗，手法极其隐蔽且难以防范，并且用过Uniswap交互的地址都有可能暴露在风险之下，本文Beosin联合独立研究员菠菜对这种签名钓鱼手法进行科普，尽量避免大家更多的资产损失。以下为菠菜的亲身经历复述：事件经过最近，一位朋友（暂称小A）钱包里的资产被盗后找到菠菜，与常见被盗方式不同的是，小A并没有泄漏私钥也没有和钓鱼网站的合约进行交互，于是菠菜开始调查起了这个资产被盗事件。在区块链浏览器中可以看到小A钱包被盗的这笔USDT是通过Transfer

PoC初始的originalHash验证通过，接着使用刚伪造的attackHash同样验证通过！即同一份proof，可以被多次验证通过，即可造成双花攻击。此外，由于本文使用ALT_BN128

进行在线开户验证，并且在交易期间对用户随时进行在线复核，从而更准确地满足监管要求，其解决方案可在三个层面提供监管支持。身份验证阶段：‌‌采用包括人脸识别和活体检测、证照识别等KYC

提供权利、资格或途径，对以下事宜进行投票：任何加密保护数字形式价值的相关事务的管理、运作或管治，或任何适用于加密保护数字形式价值的安排的条款的改变；（3）可透过电子方式转移、储存或买卖；及（4）具备

Pull是Web3生态系统的一种严重威胁，因为它们破坏了用户对去中心化项目的信任和信心，并阻碍了该技术的发展。近期，就有一个名为Fintoch的庞氏骗局疑似携

有限域椭圆曲线电路，其中曲线的一般方程如下：可以发现曲线上的点都会进行一个模p运算，所以电路生成的证明参数s值取值范围为[0,1,…,p-1]，但是链上合约的变量类型uint256取值范围为

background.js文件及黑客篡改代码的变体，修改的代码行以黄色突出显示。图源卡巴斯基用户交易的详细信息会通过HTTP自动提交到黑客的C2（命令与控制）服务器：

活动除了2023香港Web3嘉年华Beosin也积极参与到周边活动里这些活动聚会，荟萃加密世界的前沿观点通过对话和探索，发现新的创新点和可能性Beosin作为这些活动的参与方助力

近期热点文章阅读：Beosin2022年全球Web3区块链安全年报OpenAI推出“王炸”产品GPT-4，能不能完整检测智能合约漏洞？复盘Euler

Deng发表《助力香港数字经济：Beosin的Web3安全及监管科技创新》的主题演讲，同时，Beosin技术负责人Ricky参加《攻与防：黑客攻击事件频发，Web3

Stablecoin作为攻击本金。2.攻击者调用aave池子合约的repay函数偿还其他人的欠款，这一步是为了将aave池子抵押收益降低，从而降低yearn:yUSDT

EagleEye安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件61起，总损失金额约为2.95亿美元。其中损失金额超过1亿美元的安全事件共1起（Euler

HK对Web3企业的支持，在此我们非常感谢，我们能真切的感受到香港政府对来港企业的重视，Beosin也将驻扎香港地区，赋能香港监管科技，助力香港Web3生态的安全与合规。”🕹

个符合女巫攻击条件的地址的集群1544https://github.com/ArbitrumFoundation/sybil-detection）研究人员如何识别女巫地址？Offchain

北京时间3月15日凌晨，人工智能初创公司OpenAI正式公布最新一代人工智能语言模型GPT-4。OpenAI在当天的声明中称，GPT-4的诞生，是OpenAI在放大深度学习方面的最新里程碑。那现在进化后的GPT-4

Token创建自己的借贷市场，同时还提供Reactive利率模型以减少治理干预。据了解，其能够实现为长尾市场资产提供借贷功能的最主要原因是，Euler引入了时间加权平均价格这一被Uniswap

Kickstart项目官方安全审计服务商Beosin受邀参加香港警务处（CSTCB）虚拟资产调查课程

Identity而不是公钥私钥配对，私钥是直接存储到设备上，通过用户生物信息认证身份。这样的设计让因为钱包安全问题而导致资产损失的事件很少发生。@Master

Pollak表示，过去十年Coinbase一直以交易为中心，产品创新可能不是首要的，但现在该公司旨在改变这种状况，推出Base其实是对“创建一个平台”的投资，让开发人员更好地构建有用产品。

2023年，Beosin已经持续在新加坡、香港等地的多所高校开展了区块链安全相关课程，获得了合作伙伴和高校学生们的广泛好评。1、Beosin顶级大咖传授实战干货，最实用的区块链安全课程南洋开讲！2、Beosin安全专家香港开讲，助力Blockchain

将同时携手已为全球3000多个区块链企业提供安全技术服务的Beosin，共同带来智能合约开发中的安全问题的讲解，致力于培养和发展下一代Web3.0人才为学习者装备各方面知识的Blockchain

MyAlgo遭受攻击，约有25个钱包被盗，用户损失资金超过920万美元，攻击原因仍在调查中。诈骗跑路方面共发生『2』起典型安全事件No.1 2月7日，WOOF代币通过后门代码发生rug