kismp123/DeFi-Security-Incident
GitHub: kismp123/DeFi-Security-Incident
一个覆盖 2020–2026 年 887 起真实 DeFi 安全事件的综合性数据库,提供根因分析、攻击流程图与链上 PoC 漏洞利用代码。
Stars: 0 | Forks: 0
# DeFi 安全事件数据库
一个包含 **887** 个真实世界 DeFi 安全事件的综合性参考(2020–2026),包含根因分析、攻击流程图、链上源代码以及 PoC 漏洞利用代码。
## 按年份浏览
| 年份 | 事件数 | notable 事件 |
|------|--------|----------------|
| [2020](./2020/README.md) | 9 | ERC777 重入攻击,早期 DeFi 漏洞 |
| [2021](./2021/README.md) | 34 | 闪电贷激增,BSC 爆发,K 不变量绕过 |
| [2022](./2022/README.md) | 135 | 桥接大规模入侵 — Ronin(6.25 亿美元)、Wormhole(3.2 亿美元)、Nomad(1.9 亿美元) |
| [2023](./2023/README.md) | 266 | 闪电贷,L2 上的只读重入攻击,高交易量年份 |
| [2024](./2024/README.md) | 279 | 业务逻辑与任意调用在 BSC/ETH 上的主导性漏洞 |
| [2025](./2025/README.md) | 128 | 复杂的多步骤漏洞,精度丢失,AMM 漏洞 |
| [2026](./2026/README.md) | 36 | BSC 业务逻辑、EIP-7702、AMM k 值攻击 |
## 按漏洞类型浏览
| 类别 | 事件数 | 描述 |
|------|--------|------|
| [闪电贷](./vulns/flash-loan.md) | 124 | 在单个交易中实现价格操纵和逻辑漏洞利用 |
| [业务逻辑](./vulns/business-logic.md) | 149 | 协议特定的会计、奖励或不变量逻辑漏洞 |
| [预言机与价格操纵](./vulns/oracle-price-manipulation.md) | 117 | 现货价格扭曲、储备金倾斜、TWAP 操控 |
| [访问控制](./vulns/access-control.md) | 97 | 权限检查缺失或被绕过的特权函数 |
| [重入攻击](./vulns/reentrancy.md) | 75 | 跨函数和只读重入攻击 |
| [任意调用 / 输入](./vulns/arbitrary-call.md) | 79 | 攻击者控制的 calldata 劫持执行流程 |
| [质押与奖励](./vulns/staking-reward.md) | 47 | 奖励计算错误、锁仓绕过、金库逻辑漏洞 |
| [整数与精度](./vulns/integer-precision.md) | 31 | 溢出、下溢以及定点数精度漏洞 |
| [滑点与 AMM](./vulns/slippage-amm.md) | 27 | 缺少滑点保护,K 不变量绕过 |
| [通缩 / 手续费代币](./vulns/defl-tax-token.md) | 31 | 与协议不兼容的 Rebase 或手续费转账代币 |
| [签名重放](./vulns/signature-replay.md) | 14 | 缺少 nonce 或域分隔符的重复签名 |
| [授权 / Allowance 滥用](./vulns/approval-abuse.md) | 12 | 过度授权以及通过 transferFrom 实现的 Allowance 盗取 |
| [未受保护的回调](./vulns/unprotected-callback.md) | 11 | 未经验证的 swap/flash 回调被利用以执行未授权操作 |
| [私钥泄露](./vulns/private-key-compromise.md) | 12 | 密钥被盗、GitHub 泄露、内部滥用、供应链攻击 |
| [捐赠 / 金库通胀](./vulns/donation-inflation.md) | 10 | 首次存款者捐赠攻击推高份额价格 |
| [代理与存储冲突](./vulns/proxy-storage.md) | 12 | 代理与实现之间的存储布局不匹配 |
| [治理](./vulns/governance.md) | 8 | 闪电贷治理、投票操纵 |
| [NFT](./vulns/nft.md) | 9 | 通过回调重入攻击、版税绕过 |
| [弱 / 可预测的随机性](./vulns/weak-randomness.md) | 6 | 可预测的 RNG、彩票操纵、Groth 证明伪造 |
| [自我转账 / 自我余额利用](./vulns/self-balance-exploit.md) | 5 | 通过自我转账或阈值绕过实现余额倍增 |
| [CREATE2 漏洞](./vulns/create2-exploit.md) | 5 | CREATE2 操作码滥用以预测或抢跑合约地址 |
| [MEV / 夹心攻击](./vulns/mev-sandwich.md) | 4 | 前置运行、夹心攻击以及池子创建操控 |
| [桥接与跨链](./vulns/bridge-crosschain.md) | 2 | 跨链消息验证失败 |
→ [完整的漏洞类型索引](./vulns/README.md)
## 报告格式
每个事件文件(`YYYY-MM-DD__.md`)包含:
1. **漏洞概述** — 根因与财务影响
2. **脆弱代码分析** — 漏洞代码与修复代码对比
3. **链上源代码** — 实际部署的合约代码片段
4. **攻击流程** — ASCII 逐步攻击流程图
5. **PoC 代码** — 带有内联注释的 Foundry 漏洞利用
6. **漏洞分类** — CWE、OWASP DeFi、攻击向量
7. **修复建议** — 具体修复建议
8. **经验教训** — 对开发者和审计员的关键总结
## 数据来源
- PoC 参考:[DeFiHackLabs](https://github.com/SunWeb3Sec/DeFiHackLabs)
- 链上数据:Etherscan、BSCScan、Polygonscan 及其他浏览器
- 合约源码:Sourcify、Etherscan 已验证合约
*仅供教育与研究用途。*
标签:2020, 2021, 2022, 2023, 2024, 2025, 2026, DeFi, Flash 贷款, Oracle 操纵, PoC 漏洞, Streamlit, 业务逻辑漏洞, 价格操纵, 任意调用, 再入攻击, 区块链安全, 参考案例, 安全, 安全事件, 审计, 提示词模板, 收益操纵, 攻击流程, 数据库, 智能合约, 根因分析, 桥接漏洞, 漏洞分析, 网络安全研究, 访问控制, 超时处理, 跨链桥, 路径探测, 链上分析, 链上源码, 防御加固