全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

如何成为智能合约审计师 - 路线图

本文提供了一条成为智能合约审计师(安全研究员)的详细路线图,涵盖必要的课程、技能和实践机会,以便有效提升在Web3安全领域的职业生涯。通过学习Solidity编程、参与审计课程以及实践和竞赛,读者可以不断提升自己的能力,最终在安全行业中获得高薪职位。
智能合约审计  Solidity  Web3  安全研究员  区块链  网络安全 
  • Cyfrin
  • 发布于 2024-11-24
  • 阅读 ( 903 )

第五阶段:法规遵从与风险管理 - 第二部分:智能合约安全与合规

本文是关于智能合约安全和合规性的法律和监管注意事项的第二部分。讨论了关键方面,包括法律审查、管辖权挑战、数据隐私和争议解决机制。学习如何使智能合约与适用法律保持一致,整合 KYC/AML 等合规措施,并在降低法律风险的同时保护敏感数据。
智能合约  合规性  KYC/AML  法律风险  数据隐私  监管 

在Web3中避免加密诈骗并保护你的资金安全:第一部分

这篇文章介绍了如何在Web3环境中防止加密诈骗的基本知识,重点讨论了代币所有权、私钥管理以及常见的网络攻击如钓鱼和恶意软件的防范措施。作者详细说明了不同类型的钱包及其安全性,并提供了一系列最佳实践以保护资产安全。
加密诈骗  web3安全  私钥管理  钓鱼攻击  恶意软件  资产保护 
  • Cyfrin
  • 发布于 2024-11-23
  • 阅读 ( 698 )

zkVM 安全性:哪里可能出错?- ZKSECURITY

本文深入探讨了零知识虚拟机(zkVM)的工作原理、潜在的安全漏洞以及构建安全零知识应用的必要性。文章详细介绍了zkVM的编译、执行、证明和验证流程,并分析了每个阶段可能出现的安全风险,例如编译器漏洞、执行不确定性、电路约束不足以及验证过程中的输入混淆等问题。
零知识虚拟机  zkVM  安全漏洞  编译器  证明系统  验证 

安全硬件的五个级别

本文探讨了可编程密码学和安全硬件的重要性,提出实现可编程密码学的五个安全硬件级别,并分析了每个级别的开发体验与安全性。文章强调,虽然当前安全硬件技术使得开发者可以创造出具有良好性能的应用,但要实现更高的安全性,仍需在硬件层进行创新,并展望未来在全球范围内实现高度安全的应用。
可编程密码学  安全硬件  零知识证明  多方计算  异构安全硬件 

Web3.0安全开发实践:Clarity最佳实践总结

in  Web3.0安全开发实践
在过去的一段时间里,CertiK团队对比特币生态系统及其发展进行了深入研究。同时,团队还审计了多个比特币项目以及基于不同编程语言的智能合约,包括OKX的BRC-20钱包和MVCDAO的sCrypt智能合约实现。现在,我们的研究重点转向了Clarity。CertiK团队在圆满完成多个Clarit
最佳实践  clarity 
  • CertiK
  • 发布于 2024-11-22
  • 阅读 ( 1608 )
  • ( 24 )

Polter Finance 漏洞:Fork-and-Pray 失败

本文详细分析了Polter Finance的安全漏洞及其导致的1200万美元损失,探讨了该平台的操作机制、缺陷及攻击过程。文章深入剖析了价格预言机系统的不足,以及如何通过闪电贷操纵价格,从而导致平台流动性被抽空。作者总结了漏洞的根源,并给出了改进建议,强调了独立安全审计的重要性。
Polter Finance  闪电贷  价格预言机  安全审计  去中心化金融  区块链安全 

加密货币钱包简介及如何确保其安全

本文详细介绍了加密货币钱包的类型、安全风险及威胁,并提供了保护钱包安全的最佳实践。文章还讨论了MPC与Multi-Sig技术的安全性对比,并强调了钱包设计中需要关注的安全措施。
加密货币钱包  MPC  Multi-Sig  私钥  安全风险  最佳实践 

改进 Jolt zkVM 的安全性 - ZKSECURITY

zkSecurity 团队与 a16z 合作,对 Jolt zkVM 进行了深入研究,发现了多个严重的安全漏洞,如执行跟踪验证、输出检查和内存布局约束等方面的问题。这些漏洞可能允许恶意证明者绕过验证。Jolt 团队已经修复了这些问题, 并通过这次合作显示了对 zkVM 进行安全审计的重要性。
Jolt zkVM  零知识证明  RISC-V  漏洞  安全审计  Lasso lookup 

什么是智能合约审计及如何选择合作伙伴

本文介绍了智能合约审计的定义、流程、重要性和益处,并探讨了如何选择合适的审计合作伙伴。文章通过成功案例(Maple Finance, Morpho)和失败案例(Abracadabra Money, Penpie)对比,强调了智能合约审计对于确保用户和资金安全的重要性。此外,还讨论了不同类型的智能合约审计方法以及Three Sigma作为安全合作伙伴的优势。
智能合约  审计  漏洞  安全  区块链  DeFi 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 

什么是智能合约审计 & 如何选择合作伙伴

本文详细介绍了智能合约审计的概念、流程、重要性以及如何选择合适的审计合作伙伴。通过分析智能合约审计的工作原理、关键好处以及常见的漏洞,强调了审计在保护用户资金和确保项目安全方面的重要性。此外,文章还对比了审计过的项目和未审计过的项目所面临的不同风险,并提供了选择审计机构的建议。
智能合约审计  区块链安全  漏洞  安全风险  代码审计  智能合约 

证明:PyPI 上新一代的签名

PyPI 引入了新的安全特性,即 Index-Hosted Digital Attestations,通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来,利用密钥签名将分发包的身份(名称和摘要)与其来源(生成它的 GitHub 仓库或其他来源)进行加密绑定。
PyPI  数字签名  Sigstore  Trusted Publishing  PEP 740  供应链安全 

ZTEE - 无信任供应链

这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
远程认证  安全硬件  恶意硬件  物理不可克隆函数  开放硬件  供应链安全 

Solidity DoS Attack

在 Solidity 智能合约开发中,DoS(Denial of Service,拒绝服务)攻击是一个常见且需要关注的安全问题。本文探讨了 Solidity 中的三种主要 DoS 攻击类型及其防御方法
DoS  returnbombAttack 
  • Q1ngying
  • 发布于 2024-11-10
  • 阅读 ( 1363 )
  • ( 20 )

安全指南 | Web3.0渗透测试概念与实践详解

in  CertiK 安全知识分享
Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中,我们将探讨Web3.0渗透测试是什么、为什么它很重要,以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。
渗透测试 
  • CertiK
  • 发布于 2024-11-08
  • 阅读 ( 2174 )
  • ( 40 )

揭秘Scam-as-a-Service:警惕钓鱼攻击的产业化

in  CertiK 安全知识分享
本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。
钓鱼攻击  网络安全 
  • CertiK
  • 发布于 2024-11-05
  • 阅读 ( 2393 )
  • ( 45 )

如何使用 QuickNode 设置来源域名白名单

本文详细介绍了如何在QuickNode上设置请求来源白名单,以提高应用程序的安全性。通过详细的步骤和示例,读者可以了解referrer白名单的定义、设定方法及其重要性,并获得一些额外的资源链接以提升安全性。
Referrer Whitelisting  QuickNode  安全性  DApp  HTTP头  API接口 

最佳智能合约审计与安全课程

本文列出了五个顶尖的智能合约审计和安全课程,旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题,都是业内专家设计,并提供了丰富的学习资源和实用技能。
智能合约审计  Web3  安全课程  在线学习  区块链  漏洞 
  • Cyfrin
  • 发布于 2024-11-02
  • 阅读 ( 870 )
  • ( 4 )

事后分析(2024年9月)

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程,包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险,最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。
Maia DAO  漏洞  资金救援  Permit2  Arbitrum  LayerZero 
  • maiaDAO
  • 发布于 2024-11-02
  • 阅读 ( 703 )