defi

20250709 - GMX V1 攻击事件: 重入漏洞导致的总体仓位价值操纵2025 年 7 月 9 日，GMX V1 遭受黑客攻击，损失约 4200 万美元资产。攻击者利用 executeDecreaseOrder 函数发送 ETH 的行为进行重入，绕过 enableLeverage 检查和 globalShortAveragePrices 的更新进行开仓，从而操纵全局空头平均价格（globalShortAveragePrices），抬高 GLP 代币的价值。最后将 GLP 以池内资产（BTC、ETH、USDC 等）的形式赎回完成获利。

20250528 - Usual 攻击事件: 价差兑换与请君入瓮VaultRouter 合约有用特权身份，可以通过 Usd0PP 合约将 USD0++ 以 1:1 的比例兑换成 USD0，随后通过 UniV3 将 USD0 swap 成 sUSDS，并 deposit 成 usUSDS 发送给用户。

【事件分析】20250112-Usual 赎回机制调整事件https://docs.usual.money/Usual 是一个聚合 RWA 的稳定币发行协议，经济模型中存在三种代币：

20250110-FortuneWheel 攻击事件：竟然不设滑点，那就体验一下 Force Investment 吧攻击交易：https://app.blocksec.com/explorer/tx/bsc/0xd6ba15ecf3df9aaae37450df8f79233267af41535793ee1f69c565b50e28f7da

【漏洞分析】20250105-SorraStaking：奖励金额计算错误，每次取款都有大收益2024-12-21 11:58:11 (UTC)2025-01-04 11:59:23 (UTC)漏洞合约：https://vscode.blockscan.com/ethereum/0x5d16b8ba2a9a4eca6126635a6ffbf05b52727d50

【项目学习】Morpho 借贷协议简单调研Morpho blue （下称 Morpho）是一个超额抵押借贷协议。与传统的借贷协议不同，Morpho 无需经过治理批准即可创建任意定制化的借贷市场。用户可以通过指定一项贷款资产、一项抵押资产、清算贷款价值 (LLTV)、预言机和利率模型 (IRM) 等参数来创建一个独立市场。市场创建以后，其相关参数不可修改。

【项目学习】Pendle 项目的简单调研Pendle 官方网站：https://www.pendle.finance/ Pendle Finance 是一种无需许可的收益交易协议，用户可以在其中执行各种收益管理策略，通过将 DeFi 上的生息资产拆分成 PT（本金代币）和 YT（收益代币）来实现上述功能。

【漏洞分析】Penpie 攻击事件：重入攻击构造奖励金额2024 年 9月 3日，Penpie 合约遭受重入攻击，攻击者在重入阶段向合约添加流动性来冒充奖励金额，从而获取合约内原有的奖励代币。资产损失高达 2734 万美元。

【漏洞分析】DoughFina 攻击事件分析：不做任何参数检查的去杠杆合约2024 年 7 月 12 日，DoughFina 协议遭受了黑客攻击，造成本次攻击的主要原因是 ConnectorDeleverageParaswap 合约没有对输入参数进行检查，且该合约为 DSA 合约的 owner。攻击者可以构造恶意参数窃取 DSA 合约的资金。

杰哥的技术杂货铺

DeFi 基础知识：去中心化金融及其运作方式但这个新兴的生态系统如何运作？它与传统金融体系有何不同？本文将向您介绍 DeFi 的基本概念，探讨其机制、优势及其对金融格局的变革潜力。

【漏洞分析】Reflection Token 反射型代币攻击事件通用分析思路在本篇文章中，我将通过一个攻击事件引出 Reflection Token 攻击事件的一个通用分析思路。关于 Reflection Token 的其他案例分析，可以参考BEVO代币攻击事件分析及复现一文。

Hundred Finance 攻击事件分析Hundred Finance 是 fork Compound 的一个借贷项目，在2023/04/15遭受了黑客攻击。攻击者在发起攻击交易之前执行了两笔准备交易占据了池子，因为发起攻击的前提是池子处于 empty 的状态（发行的 hToken 数量为 0）。