全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

隔离开发环境:降低网络攻击风险

本文探讨了隔离开发环境(如 Docker 容器)如何保护代码和敏感数据免受网络攻击的威胁。通过介绍 Docker 的原理、优势及最佳实践,作者强调使用这一技术可以降低开发过程中遭遇的安全风险,并提供了一系列具体建议以提升安全性。
Docker容器  网络攻击  隔离开发环境  安全最佳实践  私钥泄露  开发者工具 
  • cyfrin
  • 发布于 2024-10-23
  • 阅读 ( 379 )

Radiant Capital 事件后总结

2024年10月16日,Radiant Capital遭遇安全漏洞,损失约5000万美元。攻击者通过精密的恶意软件注入,成功篡改了至少三名长期贡献者的硬件钱包。这些开发者使用硬件钱包,且地理位置分散,这降低了被物理攻击的可能性。攻击者在正常的多重签名交易过程中,以合法的交易数据诱骗签名,导致数百万美元被盗。事件引发了广泛的安全讨论,强调了在DeFi环境中,盲签名及常见错误消息可能掩盖更深层次问题的风险。为避免类似事件,建议实施多层签名验证、独立设备校验、增强硬件钱包安全性等监控和审计机制。
Radiant Capital  安全漏洞  恶意软件  多重签名  DeFi  硬件钱包 

零时科技 || Radiant Capital 攻击事件分析

RadiantCapital项目被攻击,共造成50M USD的损失。主要原因是 Radiant 的核心人员安全意识不足,导致攻击者构造虚假的前端骗取核心人员签名攻击交易。
黑客攻击  攻击事件  区块链安全 

Solodit如何帮助研究人员赢得区块链安全比赛

本文介绍了Solodit如何在区块链安全竞赛中成为一种转变性工具,分析了其功能、使用方法和成长过程序。作者分享了自己如何利用Solodit整理数据、建立检查清单并参与竞赛,最终在安全研究领域取得成功。
Solodit  区块链安全  安全竞赛  安全研究  报告分析  检查清单 
  • cyfrin
  • 发布于 2024-10-14
  • 阅读 ( 470 )

什么是加密蜜罐(honeypot)?

本文介绍了加密货币中的蜜罐(crypto honeypot)是什么,以及这些骗局如何吸引 unsuspecting 投资者,提供了识别和避免蜜罐诈骗的策略。文章通过具体的例子阐明了蜜罐的工作机制,并分享了常见的警示信号和防范措施。
加密蜜罐  骗局  智能合约  投资保护  识别策略  区块链安全 
  • cyfrin
  • 发布于 2024-10-12
  • 阅读 ( 559 )

资源类型

该文档描述了OpenZeppelin Defender As Code中 Resources 对象的结构和属性。
OpenZeppelin Defender  As Code  Resources  Actions  Notifications  relayers  Contracts  Monitors 

Wormhole 安全计划

本文档详细介绍了 Wormhole 项目的安全计划,包括第三方安全审计、漏洞赏金计划、信任假设、白帽黑客活动、链集成商安全建议、社交媒体监控、事件响应以及紧急关闭策略。强调通过多方审计、激励漏洞报告、明确责任以及 Guardian 节点的监控来提升整体安全性。
安全审计  漏洞赏金  信任假设  白帽黑客  事件响应  安全监控 

TITANX: The Tragedy of the Forced Investment Incident

in  Security Incidents Analysis
On September 16, 2024, the TITANX suffered an attack and resulted in an estimated total loss $433,000 on the Ethereum network. This incident involved.
安全事件分析  闪电贷攻击 
  • Lori
  • 发布于 2024-10-11
  • 阅读 ( 1455 )
  • ( 38 )

Masamune:智能合约安全搜索工具

本文介绍了Masamune,一个为智能合约开发者和安全研究员设计的开源工具,旨在从审核报告和技术文档中搜索安全信息。Masamune有两个版本:V1使用简单的正则表达式,提供精准查询;V2则结合AI技术,提供更上下文相关的搜索结果,助力开发者提高代码安全性。文章还讨论了该工具的使用方法及其优势。
Masamune  智能合约  安全工具  AI  正则表达式  开源 
  • zellic
  • 发布于 2024-10-09
  • 阅读 ( 348 )

Bedrock_DeFi攻击事件--代码逻辑漏洞

2024年9月26日BedRockDeFi被攻击损失1.7M我对此进行了分析和PoC编写。本次漏洞的本质是逻辑漏洞。
智能合约安全  逻辑漏洞  合约审计 
  • 黑梨888
  • 发布于 2024-10-07
  • 阅读 ( 1365 )
  • ( 37 )

AIZPT攻击事件分析

本篇文章分析BNBSmartChain上的ERC314标准代币AIZPT的攻击事件。该攻击事件的根本原因是:AIZPT兑换BNB时,恒定乘积公式出现问题,导致可以获得更多的BNB。
智能合约安全  ERC-314  BSC 
  • 卡卡
  • 发布于 2024-10-07
  • 阅读 ( 1493 )
  • ( 24 )

Penpie攻击事件--重入漏洞

9月初发生了一次针对penpie合约的攻击,造成约2700万美金的损失。我对这次攻击进行了梳理,分析了漏洞成因,总结了攻击步骤,并且完成了一份PoC,本地测试可获利2000多ETH。本次攻击的本质是重入漏洞。
智能合约安全  合约漏洞  重入漏洞 
  • 黑梨888
  • 发布于 2024-10-04
  • 阅读 ( 1580 )
  • ( 19 )

【安全月报】| 9月区块链安全事件有所下降,因黑客攻击等损失金额达1.2亿美元

9月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.2亿美元
安全月报  web3安全  黑客攻击 

零时科技 || Bedrock uniBTC 攻击事件分析

Bedrock项目遭受攻击,攻击者通过此次攻击共获利649.6WETH,约合170万美金。攻击者利用失真的价格来通过借贷进行获利,最终导致攻击 者用借贷来的WETH掏空了项目方的uniBTC代币。
黑客攻击  攻击事件  web3安全 

零时科技 || Bankroll 攻击事件分析

Bankroll Network DeFi项目遭受攻击,攻击者共获利230K USD.漏洞在于 Bankroll 的代码中,没有做输入限制,导致攻击者可以使购买方为项目方本身。
黑客攻击  攻击事件  区块链安全 

BlazCTF 2024 - 8Inch 题解

本文详细描述了在2024年FuzzLand CTF中解决8Inch挑战的过程,包括对ERC-20合约TradeSettlement的深入分析。文章展示了合约中的多个漏洞,如何利用精度损失和溢出问题来进行攻击,并提供了最终的攻击脚本。通过这一过程,展示了合约安全审计的重要性及相关的漏洞细节。
合约漏洞  精度损失  溢出  ERC-20 Token  合约攻击  ctf 
  • Bazzani
  • 发布于 2024-09-26
  • 阅读 ( 282 )

如何比较虚拟机

文章详细介绍了在以太坊类似虚拟机中存在的潜在漏洞,包括通过恶意交易导致区块链关闭的风险、precompile的不正确实现及网络攻击的可能性。作者分析了 Aptos VM 和 Avalanche 的具体例子,探讨了如何检测与此相关的安全漏洞,提供了多种分析工具的链接,内容深度和逻辑性较强。
区块链漏洞  以太坊  Aptos  Avalanche  安全研究  precompile 

BlazCTF2024--8Inch复现

BlazCTF2024——8Inch 复现
ctf 
  • Q1ngying
  • 发布于 2024-09-25
  • 阅读 ( 1051 )
  • ( 11 )

掌握Web3协议审计的有效测试编写技巧

本文介绍了一种结构化的测试框架,旨在帮助Web3开发者编写有效的测试,从而捕捉严重的漏洞。文章强调了采用黑客思维、保持不变性思维和系统架构思维三个心态的重要性,以确保协议的安全性和可靠性。通过应用这些心态,开发者可以更准确地制定测试场景,以应对潜在的安全威胁。
测试框架  黑客思维  不变性思维  系统架构思维  web3安全  智能合约 

以太坊中的签名可塑性问题

这篇文章详细介绍了以太坊中的签名可塑性问题,特别是如何利用ECDSA签名来绕过安全措施。文章首先解释了签名可塑性的概念及其来源,接着通过Solidity和JavaScript示例演示了如何实现恶意签名操作。最后,文章还给出了防止签名可塑性的方法,例如使用OpenZeppelin库及其他最佳实践。整体内容深入且结构清晰。
签名可塑性  ECDSA  以太坊  智能合约  安全措施  OpenZeppelin