全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

智能合约开发的演进

本文讨论了智能合约开发的演进,特别是reentrancy重入攻击的风险,以及使用Move语言和SVM(MoveVM)虚拟机来提高智能合约安全性的方案。文章分析了Curve和DAO两次著名的攻击事件,并深入探讨了Move语言的安全机制,包括资源类型、模块系统、线性类型系统、字节码验证和形式化验证。最后,作者展望了MoveVM在EVM社区的未来应用。
智能合约  重入攻击  Move语言  形式化验证  SVM  MoveVM 

使用标签分析检测零知识电路中的回旋镖值 - ZKSECURITY

zkApps开发中,从电路中取出值并在电路外使用后重新插入电路,会产生被称为“回旋镖值”的问题,可能导致安全漏洞。文章介绍了如何在Rust中使用MIRAI的标签分析功能来检测这种问题,并简要提及了使用fuzzing来查找电路中的bug。
zkApps  零知识证明  回旋镖值  MIRAI  标签分析  Rust  fuzzing 

攻击对象

本文分析了一种利用Linux内核中的漏洞,通过“缓存转移”技术,将利用原语从固定大小的缓存转移到动态缓存,绕过CONFIG_KMALLOC_SPLIT_VARSIZE的保护。首先利用CVE-2023-0461漏洞在一个固定缓存中导致UAF,然后利用此UAF在动态缓存中覆盖关键数据结构,从而绕过KASLR并最终实现RIP控制。文章还讨论了在利用过程中遇到的问题以及如何通过设置内核变量来规避。
Linux内核  缓存转移  Use-After-Free  KASLR绕过  RIP控制  漏洞利用 
  • google
  • 发布于 2023-08-25
  • 阅读 ( 443 )

SharkTeam:Exactly Protocol攻击事件原理分析

in  智能合约安全
8月18日,Exactlyprotocol遭遇黑客攻击,攻击者已获利约1204万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0x3747dbbcb5c07786a4c5988

群体的智慧:社区驱动的安全性

本文讨论了区块链安全的生命周期及其在社区驱动安全服务中的转变,强调了在开发早期发现安全问题的重要性。通过与传统审计公司相对比,探讨了漏洞奖励和竞争审计平台的市场发展和潜力,认为社区驱动的审计模式可以与传统审计共同为区块链安全提供有效保障。
区块链  安全生命周期  社区驱动  漏洞奖励  竞争审计 

洞察:NFT风险评估与评价

本文介绍了NFTScan如何通过提供标准化和高质量的NFT数据,以及实时链上分析工具,帮助用户进行NFT风险评估,应对NFT市场中存在的欺诈和安全问题。文章强调了通过数据分析和链上监控,可以有效识别恶意行为,做出明智的投资决策。
NFT  风险评估  NFTScan  数据分析  区块链安全  链上监控 
  • nftscan
  • 发布于 2023-08-19
  • 阅读 ( 273 )

验证器节点安全的 15 个最佳实践

本文介绍了在Web3中提高验证器节点安全性的15个最佳实践,并以ZetaChain为例进行了说明。这些实践包括保持软件更新、使用防火墙保护、安全存储敏感数据、保存重要的验证器数据、指定Keyring的后端、确保物理环境安全、启用DDoS保护、运行验证器节点、使用硬件安全模块(HSM)、使用单独的磁盘、定期备份、网络隔离、避免暴露敏感信息、监控节点活动以及进行安全审计。
区块链节点安全  验证器节点  web3安全  DDoS防御  硬件安全模块  ZetaChain 

跨链桥的常见漏洞

本文深入探讨了Web3中跨链桥面临的安全挑战,剖析了Poly Network、Ronin Network、Harmony Bridge、BNB Bridge、Wormhole、Nomad Bridge和Qubit Finance等多个桥被攻击的案例。通过分析这些案例,揭示了不安全外部调用、私钥泄露、加密攻击和零值利用等常见漏洞,强调了审计和漏洞赏金计划在预防攻击中的重要性。
跨链桥  安全漏洞  智能合约  私钥安全  加密攻击  多重签名 

你是否能通过 Rekt 测试?

Rekt Test 是由 Web3 安全专家创建的,旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试,该测试通过12个问题,涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。
区块链安全  安全测试  Rekt Test  漏洞  威胁建模  密钥管理 

零时科技 || Vyper 重入锁漏洞导致的Curve 遭黑客攻击全路径分析

-建议在项目开发时选择稳定的技术栈以及对应版本,并对项目进行严格的测试,防止类似风险。
黑客攻击  零时科技 

Chainlink Oracle 安全考量

本文详细探讨了在集成Chainlink价格预言机时需注意的安全问题,列举了多种潜在漏洞及应对策略,包括过期价格检查、L2序列器状态检查、价格精度处理等。
Chainlink  预言机  智能合约  安全漏洞  DeFi  L2 

2023 年 Web3 中最常见的 10 个漏洞

2023 年 Web3 中最常见的 10 个漏洞: 输入验证不正确;计算错误;预言机/价格操纵; 弱访问控制; 重放攻击;舍入误差;重入攻击;抢跑;未初始化的代理;治理攻击。
智能合约安全 

Curve Finance分析与事后剖析

2023年7月30日,Curve Finance的多个流动池遭受重入攻击,揭示了Vyper编译器的严重缺陷,导致Curve池的安全性受到威胁。文章详细分析了攻击的过程和原因,以及对后续智能合约安全性的思考,指出了智能合约审核中未能匹配源代码与字节码的重要性,从而促使开发者关注安全性和审核流程的改进。
Curve Finance  Vyper  重入攻击  智能合约安全  区块链漏洞  安全审计 

SharkTeam:Worldcoin运营数据及业务安全分析

in  智能合约安全
Worldcoin的白皮书中声明,Worldcoin旨在构建一个连接全球人类的新型数字经济系统,由OpenAI创始人SamAltman于2020年发起。通过区块链技术在Web3世界中实现更加公平、开放和包容的经济体系,并将所有权赋予每个人。并且希望让全世界每一个人都能有最低的生活保障,提高全民基本

Vyper 非重入锁漏洞技术事后分析报告

该文章深入分析了 Vyper 编译器中存在的漏洞,该漏洞影响了 Curve.Fi 流动性池,导致其被利用。文章详细追溯了漏洞的产生、发展和修复过程,解释了 `@nonreentrant` 装饰器在特定 Vyper 版本中的失效原因,以及攻击者如何利用此漏洞获利。此外,文章还总结了经验教训,并提出了改进 Vyper 安全性的措施和未来计划。
Vyper  编译器  漏洞  重入攻击  Curve.Fi  @nonreentrant 

彻底消除重入攻击 — 链上运行时保护

本文讨论了重入攻击在DeFi领域的风险及其挑战,并提出“运行时保护”作为一种有效的安全措施。Artela通过Aspect Programming为EVM区块链引入运行时保护,旨在确保合约的执行结果与预期一致,从而防范重入攻击。该方法强调了在智能合约执行后的保护措施,朝着更高的DeFi安全性迈出了一步。
重入攻击  运行时保护  DeFi  Aspect Programming  Artela 

SharkTeam:UniswapV4 Hook最佳安全实践

in  智能合约安全
近期UniswapLab官宣了下一代AMMUniswapV4的开发进展,并公开了白皮书和代码仓库。这次V4的白皮书仅仅只有3页,原因是V4并没有对AMM的核心算法逻辑做太多修改,而是在V3的基础上,增加了一些新的特性,以满足更多的场景需求。SharkTeam将基于目前已开

SharkTeam:Vyper漏洞导致Curve和JPEG'd等项目被攻击原理分析

in  智能合约安全
7月30日,因为Vyper部分版本中的漏洞,导致Curve、JPEG'd等项目陆续受到攻击,损失总计超过5200万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析以JPEG'd被攻击为例:攻击者
  • SharkTeam
  • 发布于 2023-07-31
  • 阅读 ( 2674 )
  • ( 8 )

记一次隐蔽的恶意攻击事件追踪分析

记一次隐蔽的恶意攻击事件追踪分析
区块链安全 

慢雾:起底假充值攻击如何突破交易所的层层防御

慢雾:起底假充值攻击如何突破交易所的层层防御引言假充值攻击,是指攻击者通过利用交易所在处理充值过程中的漏洞或系统错误,发送伪造的交易信息到交易所钱包地址,这些伪造的交易信息被交易所误认为是真实的充值请求,并将对应的数字资产或货币添加到攻击者的账户中。攻击者利用这种方式,可以获得未经支付的数字资产
区块链安全