全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

使用OSTIF保护开源基础设施

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作,包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。
安全审计  威胁建模  开源软件  漏洞  安全评估  fuzzing 

UMA Across V2 审计 - OpenZeppelin 博客

OpenZeppelin 对 Across Protocol 的 contracts-v2 代码仓库进行了安全评估,发现了多个问题,包括客户端报告的 refunds 处理不当、slow fill 潜在的支付不足以及 recipient/message 功能失效等问题。
智能合约  安全审计  跨链桥  以太坊  漏洞  Optimistic Oracle  UMIP 

本月钓鱼诈骗事件不减,发生多起单个地址被盗百万美元以上的事件

2023年12月,各类安全事件损失金额相比11月有所下降。12月因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额约2494万美元。本月钓鱼诈骗事件依旧不减,用户还需要提高反诈意识。以下为典型安全事件信息2023年12月5日,Web3开发平台Thirdweb存在安全漏洞,影响多份智能
黑客攻击 

零时科技 || TransitSwapRouterV5攻击分析

简单来说,TransitSwapRouterV5 合约中多路径兑换函数缺少兑换成功校验,导致多路径兑换中使用虚假的兑换金额在后续的兑换中换取真实资金并成功获利。
区块链安全  安全审计  黑客攻击 

SharkTeam:从链上数据看稳定币的安全与监管

in  智能合约安全
众所周知,加密货币的价格极不稳定,为了在加密货币市场中有合理的价格计量标准,为各种加密货币的流动性打下基础,稳定币应运而生。其设计目标是维持稳定的价值,通过锚定诸如美元等稳定资产的价值来实现。因此,稳定币的价值通常与美元、欧元、人民币或其他资产(如黄金)保持1:1的固定汇率。稳定币
稳定币 
  • SharkTeam
  • 发布于 2024-01-03
  • 阅读 ( 5104 )
  • ( 33 )

零时科技 || OKC 项目被攻击事件分析

黑客通过闪电贷借了大量USDT,并兑换大量OKC,从而拉高了OKC的价格。并且由于OKC项目未设置LP奖励发放的锁仓要求,所以黑客在获取奖励后立刻撤回流动性,从而获取了项目方发放的流动性提供者的奖励
黑客攻击  零时科技  okc 

Ledger 钱包工具包安全事件黑客分析

Ledger Connect Kit 遭受供应链攻击,攻击者通过入侵前员工的 NPMJS 账户,发布恶意版本的 Ledger Connect Kit,诱导用户将资金转移到攻击者的钱包。该漏洞持续约 5 小时,实际资金损失约 60 万美元。Ledger 采取了修复措施,并与相关方合作阻止攻击,同时建议用户采取安全措施。
Ledger Connect Kit  供应链攻击  NPMJS  钓鱼攻击  web3安全  漏洞 

八大关键的跨链安全考量

在选择区块链互操作性解决方案时,无论是一流协议还是世界领先的金融机构,安全性都应该是首要的考虑因素。
Chainlink  跨链  区块链安全 
  • Chainlink
  • 发布于 2023-12-21
  • 阅读 ( 3861 )
  • ( 10 )

交易模拟解决方案

本文深入探讨了交易模拟工具在Web3应用开发和用户交互中的重要性。这类工具通过在链下模拟交易执行,帮助开发者和用户在实际操作前识别并纠正潜在问题,降低了资金损失和交易失败的风险,提升了Web3应用的安全性、可靠性和用户体验。Dedaub Watchdog Transaction Simulator 是一个典型的例子, 提供了多种使用方式,包括API集成和Metamask Snap。
交易模拟  Web3  智能合约  Dedaub Watchdog  区块链  安全 
  • Dedaub
  • 发布于 2023-12-17
  • 阅读 ( 479 )

我应该使用什么钱包来存储我的加密货币?

在选择钱包时,应该根据资金金额和经验进行权衡。
钱包  区块链安全 

图解跨链桥THORChain第三次攻击的攻击过程和POC

THORChain的背景知识THORChain是一个跨链桥。先后被攻击了三次,这里解析第三次。 本文的代码可以在Github是下载:https://github.com/rickwang9/HackerAnalysis
跨链桥  DEX  区块链安全 
  • 老白
  • 发布于 2023-12-16
  • 阅读 ( 4011 )
  • ( 19 )

审计员和开发者必备的智能合约审计工具

本文综述了审计智能合约所需的各种工具,强调了Web3安全的重要性以及选择合适工具识别智能合约漏洞的必要性。提及的工具包括Contract Fuzzer、Echidna、Slither和Mythril等,以及它们的优缺点,适合开发人员和审计人员使用。
智能合约  安全性  审计工具  漏洞检测  Web3 

智能合约

本文讨论了智能合约中微小bug可能导致严重后果的问题,通过NASA火星探测器和ESA火箭的案例,说明了即使是简单的错误也可能造成巨大损失。文章还分析了一个智能合约审计中发现的实际案例,强调了在智能合约开发中进行严格测试和审计的重要性。
智能合约  bug  Solidity  审计  安全  区块链 
  • Dedaub
  • 发布于 2023-12-15
  • 阅读 ( 1087 )

图解Sentiment安全攻击过程和写POC全过程

Sentiment的背景知识不足额抵押Sentiment特点就一句话不足额抵押。本文的代码可以在Github是下载:https://github.com/rickwang9/HackerAnalysis
智能合约安全  DEX  借贷 
  • 老白
  • 发布于 2023-12-15
  • 阅读 ( 3209 )
  • ( 23 )

SharkTeam:OKX DEX攻击事件分析及链上资产追踪

in  智能合约安全
2023年12月12日,OKXDEXProxy管理员私钥疑似泄露,攻击者已获利约270万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、攻击事件分析OKX:DexAggregator合约:0x7
智能合约安全 
  • SharkTeam
  • 发布于 2023-12-15
  • 阅读 ( 3972 )
  • ( 9 )

WebAuthn和Passkey:加密货币日常用户的密钥管理

本文深入探讨了WebAuthn和Passkey在Web3密钥管理中的应用,旨在提升加密货币用户的日常使用体验。
WebAuthn  Passkey  密钥管理  智能合约账户  MPC-TSS  钱包 

SharkTeam:ERC2771\&Multicall任意地址欺骗漏洞原理分析

in  智能合约安全
2023年12月8日,OpenZeppelin官方向社区发布了一则重要的安全警报。警报指出,在项目集成中使用ERC-2771标准与类Multicall方式时,可能存在任意地址欺骗攻击的风险。
区块链安全  ERC2771  multicall 
  • SharkTeam
  • 发布于 2023-12-11
  • 阅读 ( 3848 )
  • ( 8 )

OpenZeppelin 安全披露:ERC2771 与 Multicall 集成引发的任意地址欺骗攻击

分析 ERC2771 与 Multicall 集成引发的任意地址欺骗攻击
ERC2771  OpenZeppelin  漏洞分析 

Web3 的 CI/CD 浪潮

本文介绍了如何为加密项目设置持续集成和持续部署(CI/CD)环境,包括设置代码仓库、初始化项目、编写智能合约代码、编写测试和部署脚本,以及编写pipeline。通过使用GitHub Actions,可以自动化测试、漏洞扫描和部署流程,提高项目的效率和安全性。
CI/CD  智能合约  GitHub Actions  持续集成  持续部署  漏洞扫描 
  • Ackee
  • 发布于 2023-12-08
  • 阅读 ( 262 )

在Astar中发现关键漏洞

2023年11月,研究员Faith在Astar上发现了一种漏洞,攻击者可以利用该漏洞窃取价值约40万美元的代币。该漏洞涉及EVM上的智能合约与ERC-20资产的转账操作。通过对漏洞的检测和示例,文章深入分析了漏洞的原理、影响及修复措施。
Astar  漏洞  ERC-20  智能合约  EVM  安全研究 
  • zellic
  • 发布于 2023-12-06
  • 阅读 ( 719 )