全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

从模糊测试 Centrifuge 协议中学到的经验教训 第二部分

本文讨论了Recon团队在与Centrifuge协议合作时如何应用安全设计思维和夹紧技术,以减少长时间运行Echidna模糊测试后出现的假阳性。文章详细介绍了如何通过手动审查代码和利用系统理解来优化测试套件,以辨别真正的错误和无效的属性测试。最后,强调了高代码覆盖率与高质量结果之间的关系。
Echidna  模糊测试  Centrifuge  代码覆盖  安全设计  测试套件 
  • Recon
  • 发布于 2024-08-14
  • 阅读 ( 827 )

Dough Finance攻击事件---合约也有RCE

7.12DoughFinance合约遭受攻击,损失约1.8M。我对这个攻击进行了代码分析和步骤分解,并写了一个基于foundry的poc。
合约攻击  安全事件分析  合约审计  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-31
  • 阅读 ( 2456 )
  • ( 65 )

2024年5月15 Sonne finance攻击来龙去脉--精度损失

漏洞概述5月15日Sonnefinance因为合约存在精度损失漏洞,导致被黑客盗取20millionUSD。更有趣的是,一位白帽子因为及时发现了攻击,马上通过100美金,保住了资金池里剩余的6.5million美金资产,减少了损失。这篇文章我想分析下漏洞是怎么发生的
Sonne Finance  安全事件  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-26
  • 阅读 ( 2445 )
  • ( 56 )

来自模糊测试前线的教训

本文详细探讨了在EigenLayer生态系统中对Renzo协议进行模糊测试的过程和挑战,包括覆盖率的提升、动态部署,以及处理各种外部事件(如用户资金惩罚和LST的折扣与重基机制)。通过定义和实现一系列功能,作者分享了在模糊测试过程中学到的关键经验,对安全性评估具有重要意义。
模糊测试  EigenLayer  Renzo协议  LST  安全机制  以太坊 
  • Recon
  • 发布于 2024-07-26
  • 阅读 ( 869 )

Euler Finance 攻击事件分析

in  Security Incidents Analysis
💡 EulerFinance攻击事件分析 - Loan Protocol、资不抵债问题、缺乏持仓健康检查
借贷杠杆  DeFi安全  智能合约安全  安全事件分析 
  • Lori
  • 发布于 2024-06-09
  • 阅读 ( 3180 )
  • ( 81 )

damn-vulnerable-defi Puppet and puppetV2-题解

攻击类型:闪电贷价格操纵(瞬时价格) 难度值较低,可以通过这题来对价格操纵有个简单的了解~
闪电贷攻击  价格操纵  damn-vulnerable-defi 
  • Lori
  • 发布于 2024-06-04
  • 阅读 ( 2234 )
  • ( 27 )

从设计原理来学习ERC20Snapshot and ERC20Votes

了解将Token作为投票权可能带来的威胁,了解oz的ERC20Snapshot and ERC20Votes背后的原理,以及作为开发者需要注意什么问题。
ERC20Snapshot  ERC20Votes  DAO治理 
  • Lori
  • 发布于 2024-06-04
  • 阅读 ( 2809 )
  • ( 35 )

签名延展性攻击

本文根据Owen21小时合约审计课程中第二部分合约升级指南部分中关于离线签名的拓展性问题展开讨论。原视频:https://www.youtube.com/watch?v=DRZogmD647U
智能合约安全  安全技术研究  签名  离线签名  ECDSA 
  • Q1ngying
  • 发布于 2024-06-02
  • 阅读 ( 3421 )
  • ( 43 )

介绍Recon:简化的不变性测试

本文由开发者Alex The Entreprenerd撰写,介绍了他在EVM开发中的经历及对抗区块链安全漏洞的努力。文章详细介绍了他的项目Recon,这是一种帮助开发者编写和运行不变性测试的工具,同时描述了两个重大的安全攻击案例,强调了不变性测试在预防未来攻击中的重要性。
不变性测试  安全审计  区块链漏洞  EVM  扎实的代码  Recon 
  • Recon
  • 发布于 2024-05-22
  • 阅读 ( 938 )

安全审计中WETH的permit问题

目前大部分新发的ERC20Token都带有permit功能,即通过签名完成授权。签名的人不需要上链,省了gas,但是实际上更危险,一不小心签名,可能把所有的Token授权给他人了。 错误的协议实现即把WETH当成了IERC20Permit使用,也会造成损失。
WETH  permit 
  • SmileBits
  • 发布于 2024-05-16
  • 阅读 ( 2308 )
  • ( 26 )

NFT攻击向量(三)

在本系列文章中(当前系列第三篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT安全 
  • Spade_sec
  • 发布于 2024-05-14
  • 阅读 ( 2204 )
  • ( 24 )

NFT攻击向量(一)

在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT  NFT安全 
  • Spade_sec
  • 发布于 2024-05-12
  • 阅读 ( 2125 )
  • ( 25 )

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

从模糊测试Centrifuge Protocol 中学到的教训 第1部分

本文介绍了Centrifuge协议在实施模糊测试套件过程中的经验,讨论了在高覆盖率测试中的策略及方法,包括使用随机化机制来扩展合约的测试配置。文章分为多个部分,包括策略概述、Centrifuge的介绍、关键经验总结与结论,结构清晰且逻辑性强,适合对区块链测试技术感兴趣的读者。
Centrifuge  fuzz testing  coverage  EVM  blockchain  testing strategies 
  • Recon
  • 发布于 2024-05-04
  • 阅读 ( 1174 )

漏洞分析:WOOFi黑客攻击

2024年3月5日,WOOFi的合成主动市场制造(sPMM)算法在Arbitrum网络上遭受攻击,损失达到860万美元。攻击者通过一系列闪电贷操控低流动性条件,导致WOO价格异常低下,从而获利。本文详细分析了攻击的背景、步骤及其导致的漏洞。
WOOFi  sPMM  闪电贷款  价格操控  安全漏洞  合约攻击 
  • Cyfrin
  • 发布于 2024-03-10
  • 阅读 ( 1492 )

深入分析 Euler Finance 漏洞

Euler Finance遭遇了约2亿美元的黑客攻击,原因是其EToken智能合约中的缺陷导致的流动性检查缺失。文章详细分析了攻击的步骤、所用合约和过程,并提供了攻击的概念验证。解读了如何在该协议中出现此类漏洞及其可能的解决方案。
Euler Finance  黑客攻击  智能合约  流动性检查  动态清算  代码审计 
  • Cyfrin
  • 发布于 2024-03-08
  • 阅读 ( 728 )

什么是模糊测试(fuzz tests)

本文详尽介绍了智能合约的模糊测试和不变性测试,强调了它们在确保区块链系统安全性方面的重要性。通过使用Foundry框架,文章探讨了如何定义不变性、不同类型的模糊测试以及其相对于传统单元测试的优势,并推荐了几种最佳的模糊测试工具。
模糊测试  智能合约  不变性测试  Foundry  区块链安全  漏洞检测 
  • Cyfrin
  • 发布于 2024-02-02
  • 阅读 ( 1043 )

我应该使用什么钱包来存储我的加密货币?

在选择钱包时,应该根据资金金额和经验进行权衡。
钱包  区块链安全 

WebAuthn和Passkey:加密货币日常用户的密钥管理

本文深入探讨了WebAuthn和Passkey在Web3密钥管理中的应用,旨在提升加密货币用户的日常使用体验。
WebAuthn  Passkey  密钥管理  智能合约账户  MPC-TSS  钱包 

图解KaoyaSwap安全攻击过程和写POC全过程

为了看的清晰,本文先利用画图和数据分析整个事件的攻击原理和流程,然后再去写POC。 本文的代码可以在Github是下载:https://github.com/rickwang9/HackerAnalysis
区块链安全  安全事件分析 
  • 老白
  • 发布于 2023-12-02
  • 阅读 ( 4254 )
  • ( 213 )