全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

介绍Recon:简化的不变性测试

本文由开发者Alex The Entreprenerd撰写,介绍了他在EVM开发中的经历及对抗区块链安全漏洞的努力。文章详细介绍了他的项目Recon,这是一种帮助开发者编写和运行不变性测试的工具,同时描述了两个重大的安全攻击案例,强调了不变性测试在预防未来攻击中的重要性。
不变性测试  安全审计  区块链漏洞  EVM  扎实的代码  Recon 
  • Recon
  • 发布于 2024-05-22
  • 阅读 ( 767 )

安全审计中WETH的permit问题

目前大部分新发的ERC20Token都带有permit功能,即通过签名完成授权。签名的人不需要上链,省了gas,但是实际上更危险,一不小心签名,可能把所有的Token授权给他人了。 错误的协议实现即把WETH当成了IERC20Permit使用,也会造成损失。
WETH  permit 
  • SmileBits
  • 发布于 2024-05-16
  • 阅读 ( 2140 )
  • ( 26 )

NFT攻击向量(三)

在本系列文章中(当前系列第三篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT安全 
  • Spade_sec
  • 发布于 2024-05-14
  • 阅读 ( 2044 )
  • ( 24 )

NFT攻击向量(一)

在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT  NFT安全 
  • Spade_sec
  • 发布于 2024-05-12
  • 阅读 ( 1962 )
  • ( 25 )

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

从模糊测试Centrifuge Protocol 中学到的教训 第1部分

本文介绍了Centrifuge协议在实施模糊测试套件过程中的经验,讨论了在高覆盖率测试中的策略及方法,包括使用随机化机制来扩展合约的测试配置。文章分为多个部分,包括策略概述、Centrifuge的介绍、关键经验总结与结论,结构清晰且逻辑性强,适合对区块链测试技术感兴趣的读者。
Centrifuge  fuzz testing  coverage  EVM  blockchain  testing strategies 
  • Recon
  • 发布于 2024-05-04
  • 阅读 ( 936 )

漏洞分析:WOOFi黑客攻击

2024年3月5日,WOOFi的合成主动市场制造(sPMM)算法在Arbitrum网络上遭受攻击,损失达到860万美元。攻击者通过一系列闪电贷操控低流动性条件,导致WOO价格异常低下,从而获利。本文详细分析了攻击的背景、步骤及其导致的漏洞。
WOOFi  sPMM  闪电贷款  价格操控  安全漏洞  合约攻击 
  • Cyfrin
  • 发布于 2024-03-10
  • 阅读 ( 1336 )

深入分析 Euler Finance 漏洞

Euler Finance遭遇了约2亿美元的黑客攻击,原因是其EToken智能合约中的缺陷导致的流动性检查缺失。文章详细分析了攻击的步骤、所用合约和过程,并提供了攻击的概念验证。解读了如何在该协议中出现此类漏洞及其可能的解决方案。
Euler Finance  黑客攻击  智能合约  流动性检查  动态清算  代码审计 
  • Cyfrin
  • 发布于 2024-03-08
  • 阅读 ( 596 )

什么是模糊测试(fuzz tests)

本文详尽介绍了智能合约的模糊测试和不变性测试,强调了它们在确保区块链系统安全性方面的重要性。通过使用Foundry框架,文章探讨了如何定义不变性、不同类型的模糊测试以及其相对于传统单元测试的优势,并推荐了几种最佳的模糊测试工具。
模糊测试  智能合约  不变性测试  Foundry  区块链安全  漏洞检测 
  • Cyfrin
  • 发布于 2024-02-02
  • 阅读 ( 803 )

我应该使用什么钱包来存储我的加密货币?

在选择钱包时,应该根据资金金额和经验进行权衡。
钱包  区块链安全 

WebAuthn和Passkey:加密货币日常用户的密钥管理

本文深入探讨了WebAuthn和Passkey在Web3密钥管理中的应用,旨在提升加密货币用户的日常使用体验。
WebAuthn  Passkey  密钥管理  智能合约账户  MPC-TSS  钱包 

图解KaoyaSwap安全攻击过程和写POC全过程

为了看的清晰,本文先利用画图和数据分析整个事件的攻击原理和流程,然后再去写POC。 本文的代码可以在Github是下载:https://github.com/rickwang9/HackerAnalysis
区块链安全  安全事件分析 
  • 老白
  • 发布于 2023-12-02
  • 阅读 ( 4046 )
  • ( 213 )

智能合约安全的新最低测试标准:Fuzz / Invariant Test

in  全面掌握Solidity智能合约开发
学习使用模糊测试(Fuzz Test)及不变性测试( Invariant Test)提高合约安全性。
测试  Foundry  区块链安全  智能合约 

双重流动性之殇 —— KyberSwap 巨额被黑分析

据慢雾安全团队情报,2023 年 11 月 23 日,去中心化交易平台 KyberSwap 遭到攻击,攻击者获利约 5470 万美元。
黑客攻击  漏洞分析  区块链安全 

DAO治理中的DeFi攻击

本文深入探讨了去中心化自治组织(DAO)中常见的安全漏洞,包括利用闪电贷操纵提案结果、攻击者摧毁用户投票权、通过减少总投票权放大个人投票权、提案创建时快照总投票权不准确、无法达到法定人数以及利用委托金库投票权获取更多委托金库投票权等。文章还讨论了通过委任绕过投票限制、多次使用相同代币投票的风险,并提出了智能合约审计师可以使用的启发式方法来发现类似漏洞。
DAO  去中心化自治组织  智能合约  安全漏洞  闪电贷  投票权  审计 
  • Dacian
  • 发布于 2023-11-11
  • 阅读 ( 16 )

2023 年 Web3 中最常见的 10 个漏洞

2023 年 Web3 中最常见的 10 个漏洞: 输入验证不正确;计算错误;预言机/价格操纵; 弱访问控制; 重放攻击;舍入误差;重入攻击;抢跑;未初始化的代理;治理攻击。
智能合约安全 

智能合约安全审计入门篇 —— 签名重放

了解一个经典的智能合约漏洞 —— 签名重放。
智能合约安全  安全审计  智能合约 

智能合约安全审计入门篇 —— 抢跑

了解一个非常常见的攻击手法 —— 抢跑。
智能合约安全  安全审计  抢跑  智能合约 

12.slither检测器之四——变量重写检测

in  Slither漏洞扫描框架使用(初级篇)
遍历所有的节点处理变量读写关系的示例
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-07-04
  • 阅读 ( 3130 )

DeFi 合约安全的新模式:关注协议不变性

在 DeFi 合约中,常见模式是`Checks-Effects-Interactions(检查-生效-交互)`模式, 不够好,它会让开发者忘记协议的核心不变性。 作者提出了一个新的模式:FREI-PI: `功能检查-生效-交互+协议不变性`,让我们更多关注协议的不变性(安全性)。
DeFi  智能合约 
  • Tiny熊
  • 发布于 2023-07-04
  • 阅读 ( 4676 )
  • ( 74 )