全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

技术详解 | 链上打新局中局,大规模Rug Pull手法解密

in  CertiK 安全知识分享
CertiK安全专家团队频繁检测到多起手法相同的“退出骗局”,也就是我们俗称的RugPull。在我们进行深入挖掘后发现,多起相同手法的事件都指向同一个团伙,最终关联到超过200个Token退出骗局。这预示着我们可能发现了一个大规模自动化的,通过“退出骗局”方式进行资产收割的黑客团队。在这些退
  • CertiK
  • 发布于 2024-09-27
  • 阅读 ( 1927 )

BlazCTF 2024 - 8Inch 题解

本文详细描述了在2024年FuzzLand CTF中解决8Inch挑战的过程,包括对ERC-20合约TradeSettlement的深入分析。文章展示了合约中的多个漏洞,如何利用精度损失和溢出问题来进行攻击,并提供了最终的攻击脚本。通过这一过程,展示了合约安全审计的重要性及相关的漏洞细节。
合约漏洞  精度损失  溢出  ERC-20 Token  合约攻击  ctf 
  • Bazzani
  • 发布于 2024-09-26
  • 阅读 ( 805 )

如何比较虚拟机

文章详细介绍了在以太坊类似虚拟机中存在的潜在漏洞,包括通过恶意交易导致区块链关闭的风险、precompile的不正确实现及网络攻击的可能性。作者分析了 Aptos VM 和 Avalanche 的具体例子,探讨了如何检测与此相关的安全漏洞,提供了多种分析工具的链接,内容深度和逻辑性较强。
区块链漏洞  以太坊  Aptos  Avalanche  安全研究  precompile 

BlazCTF2024--8Inch复现

BlazCTF2024——8Inch 复现
ctf 
  • Q1ngying
  • 发布于 2024-09-25
  • 阅读 ( 1629 )
  • ( 11 )

掌握Web3协议审计的有效测试编写技巧

本文介绍了一种结构化的测试框架,旨在帮助Web3开发者编写有效的测试,从而捕捉严重的漏洞。文章强调了采用黑客思维、保持不变性思维和系统架构思维三个心态的重要性,以确保协议的安全性和可靠性。通过应用这些心态,开发者可以更准确地制定测试场景,以应对潜在的安全威胁。
测试框架  黑客思维  不变性思维  系统架构思维  web3安全  智能合约 

以太坊中的签名可塑性问题

这篇文章详细介绍了以太坊中的签名可塑性问题,特别是如何利用ECDSA签名来绕过安全措施。文章首先解释了签名可塑性的概念及其来源,接着通过Solidity和JavaScript示例演示了如何实现恶意签名操作。最后,文章还给出了防止签名可塑性的方法,例如使用OpenZeppelin库及其他最佳实践。整体内容深入且结构清晰。
签名可塑性  ECDSA  以太坊  智能合约  安全措施  OpenZeppelin 

实时猎杀:轻松的状态变量覆盖

本文作者分享了他在进行漏洞赏金活动中所用到的一个有趣技巧,探讨了Web3安全领域的经验,并详细介绍了如何通过获取状态变量的值和修改其存储来展示合约漏洞。文章详细阐述了获取环境、构建PoC的步骤及其实现方法,最后提供了多种提升PoC效果的技巧。
漏洞赏金  POC  状态变量  合约漏洞  web3安全  Foundry 

对Corn协议 的安全性评估

本文回顾了对Corn协议的安全性评估,其中重点讨论了发现的安全漏洞及所采取的模糊测试最佳实践。Corn是一个Layer 2网络,旨在通过以太坊的低交易成本和比特币的安全性,让用户利用比特币进行DeFi应用。文章总结了团队在模糊测试过程中的经验教训,并指出了在测试中的重要发现。
Corn协议  模糊测试  安全漏洞  以太坊  比特币  DeFi 
  • Recon
  • 发布于 2024-09-19
  • 阅读 ( 1056 )

加强对白帽黑客的法律保护

文章讲述了马耳他几名大学生因负责任地披露了一个安全漏洞而被捕的事件,并探讨了现有网络犯罪法律对白帽子黑客的保护不足的问题。文章强调,白帽子黑客在发现安全漏洞后的披露行为可能被错误地解读为恶意行为,并呼吁立法者重新考虑网络安全方法,保护那些出于善意行动的道德黑客,文中还提到了Safe Harbor框架,为道德黑客提供法律保护。
白帽子黑客  安全漏洞  法律保护  网络安全  Safe Harbor框架  责任披露 
  • Dedaub
  • 发布于 2024-09-13
  • 阅读 ( 1032 )

Valida 三月审查记录

本文是对Valida项目进行的一次代码审查,旨在找出MVP(最小可行产品)必须解决的问题。审查重点关注STARK实现的可靠性和完整性,并识别了多项潜在问题,包括CPU芯片等式测试中的漏洞、内存一致性验证的不足、以及部分指令(如SRA、MULHU32等)缺乏STARK约束等。同时,文章还探讨了功能完整性的概念,并列出了支持编译器MVP所需的指令集。
STARK  Valida  零知识证明  证明系统  代码审查  内存一致性  功能完整性 
  • 0xlita
  • 发布于 2024-09-05
  • 阅读 ( 247 )

【安全月报】| 8月区块链安全事件持续增长,因黑客攻击等损失金额达3.14亿美元

8月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达3.14亿美元
安全月报  黑客攻击  web3安全 

智能合约的漏洞

智能合约漏洞
智能合约 

守护者密钥用法

本文档描述了Guardian Key的用法,以及如何避免消息混淆。
Guardian Key  消息混淆  keccak256  gossip消息  Observations  签名 

零时科技 || HFLH 攻击事件分析

我们检测到BnbSmartChain的HFLH项目遭到攻击,攻击者通过此次攻击获利约 9.099 BNB 约为 5300 USD 。
黑客攻击  安全事件  区块链安全 

安全 - 解析器

本文深入探讨了Symbiotic协议中Resolvers的角色和功能。Resolvers负责处理slashing事件,具备否决权,维护系统安全和公平性。文章还介绍了不同类型的Resolvers,包括智能合约型、委员会型和集成现有框架型,并阐述了veto过程和未来的发展方向。
共享安全  Symbiotic  Resolvers  Slashing  否决权  风险管理 

我们为何收购Code4rena

本文讨论了Zellic收购Code4rena的影响,强调这一举措将改善客户的安全审计体验。文章介绍了两种审计方法—咨询审计和竞争审计,强调结合这两种方法能为客户提供更全面、更有效的安全保障。
网络安全  审计  Web3  代码审计  竞争审计  咨询审计 
  • zellic
  • 发布于 2024-08-23
  • 阅读 ( 1090 )

零时科技 || Zenterest 攻击事件分析

Mantra DAO的DeFi项目Zenterest遭受攻击,攻击者利用失真的价格来通过借贷进行获利,最终导致攻击者用极少的MPH掏空了项目方的WHITE 代币。
黑客攻击  安全事件 

Minterest合约攻击详解

基本信息7月15在mantle链上发生了一起针对Minterest合约的攻击,共损失1.4M。我对这次攻击思路进行了整理,并完成一份PoC。
合约攻击  minterest  合约审计  智能合约安全 
  • 黑梨888
  • 发布于 2024-08-20
  • 阅读 ( 2610 )
  • ( 43 )

从模糊测试 Centrifuge 协议中学到的经验教训 第二部分

本文讨论了Recon团队在与Centrifuge协议合作时如何应用安全设计思维和夹紧技术,以减少长时间运行Echidna模糊测试后出现的假阳性。文章详细介绍了如何通过手动审查代码和利用系统理解来优化测试套件,以辨别真正的错误和无效的属性测试。最后,强调了高代码覆盖率与高质量结果之间的关系。
Echidna  模糊测试  Centrifuge  代码覆盖  安全设计  测试套件 
  • Recon
  • 发布于 2024-08-14
  • 阅读 ( 944 )

什么是API加密?

API加密是客户端与API之间发送数据时进行编码的过程,以防止未经授权的访问或篡改。API加密通常使用加密算法来保护API,防止数据被拦截、黑客攻击和其他网络攻击。在这篇博客文章中,我们将讨论在API优先的世界中API加密所扮演的重要角色、API加密面临的常见挑战,以及如何帮助您实施强大的API