全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

对ZK应用程序的审计示例:Tornado Cash

本文通过对基于零知识证明的项目 Tornado Cash 的分析,探讨了 ZK 审计的思维方式和关键点。作者详细说明了 Tornado 的智能合约逻辑,尤其是与 ZK 证明相关的关键部分,包括存款和取款的流程,以及潜在的攻击向量和安全措施。此外,文章还涉及到 Merkle 树和 Pedersen 哈希的实现及其在安全性中的重要性,强调了对 ZK 项目分析的复杂性及其快速发展的领域特性。
零知识证明  Tornado Cash  审计  安全分析  智能合约  Merkle 树 

Defender as Code插件 - OpenZeppelin 文档

本文介绍了Defender as Code (DaC) 插件,它是一个Serverless Framework插件,用于自动化资源管理和配置即代码。
Defender as Code  Serverless Framework  自动化资源管理  serverless.yml  SSOT  OpenZeppelin 

什么是Sybil抵抗?理解Sybil攻击的关键

Sybil攻击是指恶意行为者创建多个假身份来控制区块链网络,极大地威胁到网络的完整性和安全性。本文详细介绍了Sybil抗性、Sybil攻击的类型及其后果,并探讨了各种防范措施,如工作量证明、权益证明和身份验证机制等,以增强区块链网络的安全性和韧性。
Sybil攻击  区块链  抗性  网络安全  身份验证 
  • cyfrin
  • 发布于 2024-12-22
  • 阅读 ( 401 )

Actions - OpenZeppelin 文档

本文介绍了OpenZeppelin Defender中的Actions功能,该功能允许用户为链上和链下操作实现自定义的应用逻辑,可用于智能合约操作的自动化、响应Monitor警报、自动化Workflow步骤以及调用外部API等。
OpenZeppelin Defender  Actions  Workflow  自动化  智能合约  Relayer  Webhook 

从网络安全到区块链安全研究者的7个建议

本文提供了七个建议,帮助传统网络安全专业人员成功转型为区块链安全研究者,重点介绍了区块链安全的独特挑战与机遇。建议包括学习智能合约开发,参与公共安全竞赛,以及建立个人品牌与人脉等,同时指出区块链安全领域正快速增长,急需具备专业技能的人才。
区块链安全  智能合约  网络安全  创业心态  安全竞赛  安全工具 
  • cyfrin
  • 发布于 2024-12-18
  • 阅读 ( 377 )

Relayers - OpenZeppelin 文档

本文档介绍了OpenZeppelin Defender的Relayers模块,它允许用户通过API请求或Defender的其他模块发送链上交易,自动处理gas费用、私钥安全存储、交易签名、nonce管理和gas价格估算等问题。文档还详细介绍了Relayer的使用场景、API密钥、地址管理、策略配置、交易发送、签名、信息查询以及安全考虑等。
Relayer  OpenZeppelin Defender  链上交易  Gas费用  私钥安全  EIP-191 

实践指南:如何在审计后安全地启动 DeFi 协议

在完成审计后,采取额外的安全措施来为用户提供更强的保护。文章提供了多项关键步骤,包括进行多次审计、限制初始存款、在测试网进行测试、建立监控与警报机制以及注册漏洞奖励平台,以此来提升协议安全性并降低风险。
DeFi安全  DeFi 
  • mixbytes
  • 发布于 2024-12-17
  • 阅读 ( 1111 )
  • ( 42 )

部署 - OpenZeppelin 文档

本文介绍了OpenZeppelin Defender中的Deploy模块,该模块旨在安全地跨链部署和升级智能合约。它提供了配置环境、自动化部署流程、确保合约验证以及管理多链部署的功能,并与CI/CD集成,支持使用API、Hardhat和Foundry插件进行部署和升级,并允许添加metadata以方便追踪和分类。
智能合约部署  跨链部署  OpenZeppelin Defender  合约升级  CI/CD  Etherscan 

与升级一起使用 - OpenZeppelin 文档

本文档介绍了如何在使用OpenZeppelin升级插件等工具部署可升级合约时,使用@openzeppelin/contracts-upgradeable包。 该包通过使用initializer函数替换构造函数,并在小版本之间检查存储不兼容性,遵循可升级合约的编写规则,同时还讨论了多重继承和命名空间存储等问题。
OpenZeppelin  可升级合约  initializer函数  存储兼容性  命名空间存储  ERC-7201 

管理自定义和系统使用量通知 - OpenZeppelin 文档

本文介绍了如何使用 OpenZeppelin Defender 设置自定义使用量通知和管理系统使用量通知。
OpenZeppelin Defender  使用量通知  监控  阈值  Action Runs  Monitor Alerts 

如何保护你的终端 - 前端最佳实践

本文介绍了在前端去中心化应用(dApp)中如何保护端点的多种策略,包括密钥轮换、Dot Env与后端代理、速率限制、域名白名单、JSON Web Tokens(JWT)以及端点防护。文章详细说明了每种方法的实施步骤、优缺点,并提供了相关工具的使用指南。
端点安全  密钥轮换  Dot Env  JSON Web Tokens  速率限制  域名白名单 

Radiant Capital 事件更新

2024年10月16日,Radiant Capital遭受了一次高度复杂的网络攻击,造成约5000万美元的损失。
Radiant Capital  网络攻击  恶意软件  DeFi  安全审计 

PolterFinance协议攻击分析---预言机价格操纵

基本信息2024.11.17PolterFinance遭受预言机价格操纵攻击,损失约12Million美金。我对此攻击事件进行了梳理,分析了代码漏洞,文章结尾附上自己写的简易PoC。
智能合约安全  合约审计  预言机操纵 
  • 黑梨888
  • 发布于 2024-12-07
  • 阅读 ( 1005 )
  • ( 29 )

代码检查器 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Code Inspector,它是一个与Github集成的代码分析工具,通过机器学习和安全专家开发的工具自动进行代码分析,识别潜在漏洞并提出改进建议。
代码分析  漏洞  智能合约  GitHub  OpenZeppelin  安全 

如何进行智能合约审计:完整教程

本文介绍了进行智能合约审计的十个关键步骤,强调了系统性的方法和逐步处理复杂任务的重要性。通过获取文档背景、测试协议、分析测试套件及使用静态分析工具等步骤,可以有效识别和缓解潜在的安全风险,为审计师提供了清晰的工作框架。
智能合约  审计  安全策略  静态分析  测试覆盖  攻击向量 
  • cyfrin
  • 发布于 2024-12-05
  • 阅读 ( 385 )

技术详解 | 链上打新局中局,交税的狙击机器人

in  CertiK 安全知识分享

本文则是以代币“ZhongHua”为例解析该团伙的另一种RugPull手法:用复杂的税收功能逻辑,掩盖可用于RugPull的转账功能。我们通过“ZhongHua”代币案例,分析地址0xdf1a的另一种RugPull手法细节。
骗局案例分析 
  • CertiK
  • 发布于 2024-12-05
  • 阅读 ( 1012 )
  • ( 31 )

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin社区合约库中的实用工具合约和库,包括用于签名验证、处理新数据类型和安全使用底层原语的工具。
签名验证  EIP712  ECDSA  RSA  zkEmail  ERC7913  多重签名 

实用工具 - OpenZeppelin 文档

本文档是 OpenZeppelin 合约库中 Utilities 模块的 API 文档,介绍了各种实用合约和库,包括数学运算、安全类型转换、ECDSA 签名、哈希函数、Merkle 证明、EIP712 签名、可重入保护、可暂停功能、计数器、ERC165 接口检测、位图、可枚举的 Map 和 Set、双端队列、环形缓冲区、检查点、堆、Merkle 树、CREATE2 部署、以及 address、arrays、bytes、strings 相关的实用函数。
OpenZeppelin  合约  安全  实用工具  数据结构  加密 

使用 OpenZeppelin Defender 自动化智能合约交易以实现每小时活动

本文介绍了如何使用 OpenZeppelin Defender 自动化智能合约的交易。通过创建一个每小时执行一次的 Action,该 Action 会向指定合约发送交易,从而实现自动向 Box 合约中添加对象并增加对象数量的功能。
OpenZeppelin Defender  自动化  智能合约  交易  定时任务  Relayer  Action 

使用 Certora 形式化验证在外部审计师之前发现高危漏洞

本文作者分享了使用 Certora Verification Language (CVL) 进行智能合约形式化验证的经验,通过将模糊测试中的不变量思想应用于 CVL,解决了之前在模糊测试中发现的真实漏洞的简化版本。文章详细对比了模糊测试与形式化验证的异同,并展示了使用 Certora 解决各种漏洞的实例,强调了 Certora 在漏洞检测方面的有效性和简洁性。
形式化验证  Certora  智能合约  CVL  模糊测试  安全漏洞 
  • Dacian
  • 发布于 2024-11-30
  • 阅读 ( 198 )