全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

从模糊测试 Centrifuge 协议中学到的经验教训 第二部分

本文讨论了Recon团队在与Centrifuge协议合作时如何应用安全设计思维和夹紧技术,以减少长时间运行Echidna模糊测试后出现的假阳性。文章详细介绍了如何通过手动审查代码和利用系统理解来优化测试套件,以辨别真正的错误和无效的属性测试。最后,强调了高代码覆盖率与高质量结果之间的关系。
Echidna  模糊测试  Centrifuge  代码覆盖  安全设计  测试套件 
  • Recon
  • 发布于 2024-08-14
  • 阅读 ( 642 )

什么是API加密?

API加密是客户端与API之间发送数据时进行编码的过程,以防止未经授权的访问或篡改。API加密通常使用加密算法来保护API,防止数据被拦截、黑客攻击和其他网络攻击。在这篇博客文章中,我们将讨论在API优先的世界中API加密所扮演的重要角色、API加密面临的常见挑战,以及如何帮助您实施强大的API

2024年8月7日事件:Nexera团队的事后报告

本文详细阐述了Nexera Fundrs平台遭遇的安全事件,外部攻击者通过恶意代码获取了管理智能合约的凭证,从而转移了$NXRA代币。文章回顾了事件的经过、采取的应对措施以及未来的安全策略,以保卫平台和社区用户的资产安全。
Nexera Fundrs  安全事件  $NXRA  智能合约  恶意代码  网络安全 
  • nexera
  • 发布于 2024-08-11
  • 阅读 ( 785 )

Ronin 网络攻击:1200万美元损失

本文分析了2024年8月6日Ronin Network遭受的安全攻击,该事件导致约1200万美元的损失。攻击被白帽黑客实施,漏洞源于Ronin Bridge V2合约中的初始化问题。文章深入探讨了多重签名桥的工作原理、攻击的机制以及如何避免此类攻击,同时也提到事件对用户信任的影响。
Ronin Network  多重签名桥  安全漏洞  白帽黑客  智能合约 

CvxRewardDistributor 事后分析 | 2024年8月1日

2024年1月8日,`CvxRewardDistributor`合约出现了一处漏洞,导致黑客铸造并出售了5800万CVG代币,约价值21万美元。
CvxRewardDistributor  漏洞  黑客攻击  CVG代币  安全审计 

CWA-2023-002:栈溢出崩溃(代号:Cherry)

该安全公告 CWA-2023-002 描述了 CosmWasm 中的一个栈溢出漏洞,攻击者可以通过构造恶意合约利用 Wasm 导入和导出之间的递归循环,导致虚拟机崩溃。已发布补丁以修复此问题,建议相关项目升级其 wasmvm 依赖。
CosmWasm  栈溢出  WASM  漏洞  安全  虚拟机 

【安全月报】| 7月区块链安全事件大幅增长,因黑客攻击等损失金额达2.86亿美元

7月发生较典型安全事件超32起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达2.86亿美元。
安全月报  安全事件  黑客攻击 

Dough Finance攻击事件---合约也有RCE

7.12DoughFinance合约遭受攻击,损失约1.8M。我对这个攻击进行了代码分析和步骤分解,并写了一个基于foundry的poc。
合约攻击  安全事件分析  合约审计  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-31
  • 阅读 ( 2228 )
  • ( 65 )

零时科技 || LI.FI 攻击事件分析

Ethereum链上的LI FI项目遭受攻击,攻击者利用特殊的参数,使得受害者合约通过transferFrom将授权给其合约的代币转入到攻击者控制的地址。
黑客攻击  安全事件 

2024年3月ARK合约攻击---事件分析

概要今年三月发生了一起针对ARK合约的攻击,攻击者从中获利348枚BNB攻击交易
ARK  安全事件  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-26
  • 阅读 ( 1693 )
  • ( 36 )

2024年4月19 HedgeyFinance ClaimCampaigns合约攻击--逻辑漏洞

4月19日有一起针对HedgeyFinance的ClaimCampaigns合约的攻击,多次攻击导致共损失48M。这次攻击的本质是合约逻辑漏洞,配合闪电贷一次盗取大额资金。
智能合约安全  安全事件 
  • 黑梨888
  • 发布于 2024-07-26
  • 阅读 ( 1571 )
  • ( 17 )

2024年5月15 Sonne finance攻击来龙去脉--精度损失

漏洞概述5月15日Sonnefinance因为合约存在精度损失漏洞,导致被黑客盗取20millionUSD。更有趣的是,一位白帽子因为及时发现了攻击,马上通过100美金,保住了资金池里剩余的6.5million美金资产,减少了损失。这篇文章我想分析下漏洞是怎么发生的
Sonne Finance  安全事件  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-26
  • 阅读 ( 2176 )
  • ( 56 )

来自模糊测试前线的教训

本文详细探讨了在EigenLayer生态系统中对Renzo协议进行模糊测试的过程和挑战,包括覆盖率的提升、动态部署,以及处理各种外部事件(如用户资金惩罚和LST的折扣与重基机制)。通过定义和实现一系列功能,作者分享了在模糊测试过程中学到的关键经验,对安全性评估具有重要意义。
模糊测试  EigenLayer  Renzo协议  LST  安全机制  以太坊 
  • Recon
  • 发布于 2024-07-26
  • 阅读 ( 718 )

2024-06-10 UwU lending预言机攻击

攻击相关基本信息2024年6月10号,UWULend合约被攻击薅走5272枚WETH,约2300w美金。我对这个攻击进行了梳理,并完成了简单的PoC。这个漏洞的本质是预言机价格操纵。
安全事件  预言机  UwU  智能合约安全 
  • 黑梨888
  • 发布于 2024-07-26
  • 阅读 ( 2087 )
  • ( 49 )

零时科技 || Spectra攻击事件分析

Ethereum链上的Spectra Protocol项目遭受攻击,攻击者共获利188, 013 asdCRV。攻击者利用特殊的参数,使得受害者合约通过 transferFrom 将授权给其合约的代币转入到攻击者控制的地址
黑客攻击  安全事件 

SP1 审计报告 - 递归虚拟机

本文是由 rkm0959 审计,KALOS 发布的 SP1 审计报告,审计对象是 SP1 项目中的 Recursion VM 部分,commit hash 为 22f51bb8e1f343661c1a54140401a7cb3e365928,重点关注了 `recursion/core/src` 目录下的代码,审计时间为2024年4月15日至2024年5月31日。
SP1  Recursion VM  审计报告  零知识证明  密码学  安全漏洞 

FlashLoan 潜在利用点——特殊的权限访问控制漏洞

由 MakerDAO Liquidation2.0 部分 Clip 合约发散,一种特殊的,隐蔽的权限访问限制漏洞
DeFi安全  flashloan 
  • Q1ngying
  • 发布于 2024-07-17
  • 阅读 ( 1463 )
  • ( 15 )

更快地撰写更好的报告

本文提供了一系列关于如何提升报告外观和可读性的技巧,包括使用合适的模板、VSCode扩展、及其它实用工具。强调了报告的格式和视觉效果对审阅者的重要性,并提供了代码片段和diff块等丰富内容。文章适合希望优化审计报告表达的读者。
报告模板  VSCode  代码审计  diff块  可读性  强化评论 

CTF挑战 - Tenderly与ChainSecurity 战时游戏

文章详细介绍了Tenderly与ChainSecurity合作的CTF挑战,包括多个智能合约的安全漏洞分析和攻击实现,展示了对Solidity编程、合约漏洞以及攻击手法的深入理解与分析。每个挑战都包含了合约代码示例和相应的攻击逻辑,适合对区块链安全有一定基础的读者学习和参考。
智能合约  漏洞分析  区块链安全  攻击实现  ctf  Solidity 
  • Bazzani
  • 发布于 2024-07-14
  • 阅读 ( 686 )

【安全月报】| 6月区块链安全事件持续增长,因黑客攻击等损失近2亿美元

6月发生较典型安全事件超39起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.98亿美元。