全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

SharkTeam:典型钓鱼攻击链上资产转移分析

in  智能合约安全
2023年9月7日,地址(0x13e382)遭遇钓鱼攻击,损失超2,400万美元。钓鱼黑客通过资金盗取、资金兑换和分散式地资金转移,最终损失资金中3,800ETH被相继分批次转移至Tornado.Cash、10,000ETH被转移至中间地址(0x702350),以及1078,087DAI至今保留在
钓鱼攻击  SharkTeam  安全事件分析 
  • SharkTeam
  • 发布于 2023-10-09
  • 阅读 ( 2888 )
  • ( 4 )

Web3 中最常用的身份验证因素是什么?

本文是Web3Auth团队在Token2049期间对Web3用户关于双因素认证(2FA)偏好的调研结果。调研发现,用户普遍偏好身份验证App和Passkeys作为2FA的最佳组合,认为它们更易于使用。而对于iCloud、密码和安全问题等方式的接受度较低,主要是因为中心化风险、记忆困难和容易被AI操纵等问题。同时,用户也意识到在安全性和便利性之间需要权衡,并根据资产的敏感程度来选择是否启用2FA。
双因素认证  web3安全  身份验证  Passkeys  Authentication App  MPC 

XSDWETHpool Hack Reply

Hack事件简介项目方在BSC上的XSD-WBNB池子被黑客攻击
  • bixia1994
  • 发布于 2023-10-04
  • 阅读 ( 2109 )
  • ( 7 )

依赖混淆:我是如何入侵苹果、微软以及其他几十家公司。

本文讲述了一种新颖的供应链攻击方法,作者通过上传恶意Node.js包到npm注册表,利用内部包名称寻找目标公司的安全漏洞,成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。
供应链攻击  依赖混淆  恶意代码  安全漏洞  npm  Python 

SharkTeam:Web3安全实践与创新

in  智能合约安全
在Web3领域,安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全,Web3黑暗森林中又有哪些新的攻击模式产生,SharkTeam将从一线进行分享和讨论。我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。由于熊市影响,加密领域的资产总量降低,因安全问
  • SharkTeam
  • 发布于 2023-09-26
  • 阅读 ( 2608 )
  • ( 2 )

ERC1271重放漏洞 - 影响15+团队

文章讲述了ERC1271标准中签名重放漏洞的发现与解决过程。作者发现,如果智能合约签名的摘要不包含智能合约账户地址,则可能在同一所有者的多个账户之间重放签名。文章讨论了钱包和外部应用程序在此问题中的责任,并列出了受影响的钱包以及修复方案,并强调了EIP参考实现的安全问题和签名使用的注意事项。
ERC1271  签名重放  智能合约  安全漏洞  数字签名  钱包安全 

任意调用 & Slitherin 新检测器发布

本文介绍了Pessimistic.io团队开发的Slitherin工具的最新版本,重点介绍了新增加的“Arbitrary Call”检测器,该检测器旨在帮助审计人员发现智能合约中潜在的任意外部调用风险。此外,文章还提到了Slitherin与AuditWizard.io的合作,以及Slitherin未来的发展计划。
Slither  Slitherin  智能合约  安全审计  任意调用  漏洞检测 

寻找漏洞:发现并报告Premia Finance中的300万美元漏洞

这篇文章讨论了如何发现和修复区块链项目中的安全漏洞,特别是Premia Finance的一个例子。文章深入探讨了寻找目标、研究方法、发现和修复漏洞的过程,强调了了解项目机制的重要性和不同协议的风险评估。
安全漏洞  区块链  漏洞发现  DeFi  Premia Finance  bug bounty 
  • zellic
  • 发布于 2023-09-16
  • 阅读 ( 459 )

智能合约开发的演进

本文讨论了智能合约开发的演进,特别是reentrancy重入攻击的风险,以及使用Move语言和SVM(MoveVM)虚拟机来提高智能合约安全性的方案。文章分析了Curve和DAO两次著名的攻击事件,并深入探讨了Move语言的安全机制,包括资源类型、模块系统、线性类型系统、字节码验证和形式化验证。最后,作者展望了MoveVM在EVM社区的未来应用。
智能合约  重入攻击  Move语言  形式化验证  SVM  MoveVM 

使用标签分析检测零知识电路中的回旋镖值 - ZKSECURITY

zkApps开发中,从电路中取出值并在电路外使用后重新插入电路,会产生被称为“回旋镖值”的问题,可能导致安全漏洞。文章介绍了如何在Rust中使用MIRAI的标签分析功能来检测这种问题,并简要提及了使用fuzzing来查找电路中的bug。
zkApps  零知识证明  回旋镖值  MIRAI  标签分析  Rust  fuzzing 

攻击对象

本文分析了一种利用Linux内核中的漏洞,通过“缓存转移”技术,将利用原语从固定大小的缓存转移到动态缓存,绕过CONFIG_KMALLOC_SPLIT_VARSIZE的保护。首先利用CVE-2023-0461漏洞在一个固定缓存中导致UAF,然后利用此UAF在动态缓存中覆盖关键数据结构,从而绕过KASLR并最终实现RIP控制。文章还讨论了在利用过程中遇到的问题以及如何通过设置内核变量来规避。
Linux内核  缓存转移  Use-After-Free  KASLR绕过  RIP控制  漏洞利用 
  • google
  • 发布于 2023-08-25
  • 阅读 ( 440 )

SharkTeam:Exactly Protocol攻击事件原理分析

in  智能合约安全
8月18日,Exactlyprotocol遭遇黑客攻击,攻击者已获利约1204万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0x3747dbbcb5c07786a4c5988

群体的智慧:社区驱动的安全性

本文讨论了区块链安全的生命周期及其在社区驱动安全服务中的转变,强调了在开发早期发现安全问题的重要性。通过与传统审计公司相对比,探讨了漏洞奖励和竞争审计平台的市场发展和潜力,认为社区驱动的审计模式可以与传统审计共同为区块链安全提供有效保障。
区块链  安全生命周期  社区驱动  漏洞奖励  竞争审计 

洞察:NFT风险评估与评价

本文介绍了NFTScan如何通过提供标准化和高质量的NFT数据,以及实时链上分析工具,帮助用户进行NFT风险评估,应对NFT市场中存在的欺诈和安全问题。文章强调了通过数据分析和链上监控,可以有效识别恶意行为,做出明智的投资决策。
NFT  风险评估  NFTScan  数据分析  区块链安全  链上监控 
  • nftscan
  • 发布于 2023-08-19
  • 阅读 ( 263 )

验证器节点安全的 15 个最佳实践

本文介绍了在Web3中提高验证器节点安全性的15个最佳实践,并以ZetaChain为例进行了说明。这些实践包括保持软件更新、使用防火墙保护、安全存储敏感数据、保存重要的验证器数据、指定Keyring的后端、确保物理环境安全、启用DDoS保护、运行验证器节点、使用硬件安全模块(HSM)、使用单独的磁盘、定期备份、网络隔离、避免暴露敏感信息、监控节点活动以及进行安全审计。
区块链节点安全  验证器节点  web3安全  DDoS防御  硬件安全模块  ZetaChain 

跨链桥的常见漏洞

本文深入探讨了Web3中跨链桥面临的安全挑战,剖析了Poly Network、Ronin Network、Harmony Bridge、BNB Bridge、Wormhole、Nomad Bridge和Qubit Finance等多个桥被攻击的案例。通过分析这些案例,揭示了不安全外部调用、私钥泄露、加密攻击和零值利用等常见漏洞,强调了审计和漏洞赏金计划在预防攻击中的重要性。
跨链桥  安全漏洞  智能合约  私钥安全  加密攻击  多重签名 

你是否能通过 Rekt 测试?

Rekt Test 是由 Web3 安全专家创建的,旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试,该测试通过12个问题,涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。
区块链安全  安全测试  Rekt Test  漏洞  威胁建模  密钥管理 

零时科技 || Vyper 重入锁漏洞导致的Curve 遭黑客攻击全路径分析

-建议在项目开发时选择稳定的技术栈以及对应版本,并对项目进行严格的测试,防止类似风险。
黑客攻击  零时科技 

Chainlink Oracle 安全考量

本文详细探讨了在集成Chainlink价格预言机时需注意的安全问题,列举了多种潜在漏洞及应对策略,包括过期价格检查、L2序列器状态检查、价格精度处理等。
Chainlink  预言机  智能合约  安全漏洞  DeFi  L2 

2023 年 Web3 中最常见的 10 个漏洞

2023 年 Web3 中最常见的 10 个漏洞: 输入验证不正确;计算错误;预言机/价格操纵; 弱访问控制; 重放攻击;舍入误差;重入攻击;抢跑;未初始化的代理;治理攻击。
智能合约安全