Bybit交易所遭受了15亿美元的重大黑客攻击,这并非由于智能合约或代码错误,而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用,并提出了改进安全控制的具体建议,如端点安全、交易验证流程、钱包配置和操作隔离。
本文深入探讨了Uniswap v4协议的安全性,重点分析了其创新功能如集中流动性、Hook合约和闪电会计背后的潜在安全挑战。通过全面的威胁建模,作者识别并评估了可能的攻击向量及其风险,并介绍了协议的安全保障机制。
Rekt Test 是由 Web3 安全专家创建的,旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试,该测试通过12个问题,涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。
本文介绍了TRAIL,一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响,通过识别架构层面的风险并提供短期和长期缓解方案,使客户能够随着系统变化自主更新威胁模型,同时还阐述了TRAIL的工作原理,以及轻量级和综合性威胁模型的产出。
本文档介绍了如何在软件开发生命周期(SDLC)中持续维护和更新威胁模型,以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型,包括确定需要更新的关键组件、新增风险的跟踪,以及如何将威胁模型集成到SDLC的各个阶段,从而创建一个威胁和风险分析信息生命周期TRAIL。
本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作,包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。
文章讨论了Web3领域日益严峻的安全挑战,包括交易所攻击、供应链攻击以及潜在的恶意代码注入风险。强调了对第三方依赖、跨链桥和中心化开发工具的关注,并提出了综合性的安全测试方法,如持续监控、供应链审计和模拟攻击,以应对这些威胁。
本文深入探讨了区块链技术的核心机制,包括共识协议、数据层、网络层以及模块化架构。文章分析了每个层面存在的潜在威胁,如验证者卡特尔、数据可用性问题、DDoS攻击以及模块化链中的漏洞,并提出了相应的缓解策略,强调了威胁建模对于保障区块链安全的重要性。
本文概述了Web3构建者、开发人员和安全团队在设计、开发和维护安全智能合约系统时必须考虑的核心安全基本原则。文章提出了一个框架,讨论了贯穿软件开发生命周期的八个核心安全考量类别,从威胁建模到应急响应准备,强调安全应该是成功开发的组成部分,而不是事后才考虑的附加组件。
本文深入探讨了区块链技术的核心组成部分,包括共识机制、数据层、网络层以及模块化架构,着重分析了每个环节可能存在的安全隐患,如验证者联盟、数据篡改、DDoS攻击等,并提出了相应的缓解策略。强调了对区块链协议进行威胁建模的重要性,以确保其稳定性和安全性。
Trail of Bits
Certora
web3secnews
ImmuneBytes
a16z Crypto