本文介绍了变形密码学的概念,它允许对同一密文进行不同的解密,使得在“独裁者”审查的环境下,可以向审查者显示无害信息,同时秘密接收者可以解密出真实信息。文章通过ElGamal算法演示了变形密码学的实现,并提供了相应的Python代码示例。
本文档介绍了OpenZeppelin Code Inspector,它是一个与Github集成的代码分析工具,通过机器学习和安全专家开发的工具自动进行代码分析,识别潜在漏洞并提出改进建议。
本文档介绍了如何使用OpenZeppelin Defender的通知通道功能,通过邮件、Webhook以及第三方服务(如Slack、Telegram、Discord、Datadog、PagerDuty、Opsgenie)接收来自Defender模块的事件通知。同时,还介绍了如何设置Webhook Secrets以增强安全性,并提供了使用Defender SDK和Python进行签名验证的示例。
本文档介绍了OpenZeppelin Contracts库的使用,它是一个用于安全智能合约开发的库,提供了如ERC20和ERC721等标准的实现,以及灵活的基于角色的权限控制方案和可重用的Solidity组件。文档涵盖了安装、使用方法、安全注意事项以及学习资源。
本文详细介绍了LayerZero V2中的去中心化验证器网络(DVNs),这些网络负责验证跨链消息的完整性。文章还讨论了谁可以运行DVN、DVN的重要性以及它们在实际中的应用。
本文主要分析了 ERC4626 标准下的 On-chain Vault 可能遭受的通胀攻击,攻击者通过操纵 Vault 中的资产总量来稀释其他用户的份额,并探讨了多种防御方法,包括初始化 Vault 资产、内部控制资产总量、使用 decimals offset 以及 OpenZeppelin 提出的虚拟份额和资产方案。
文章讨论了EIP-3074中AUTH/AUTHCALL机制的安全风险,指出该机制要求用户签署一个“空白支票”,将所有操作权限委托给调用者,可能导致恶意或有漏洞的调用者代表用户执行任何操作,包括盗取资产、操纵投票、控制合约等,且无法撤销。
本文深入探讨了任意消息桥(AMB)领域,旨在为开发者提供一个比较框架,以便快速评估不同AMB的优缺点,并为桥和dApp用户提供跨链领域安全权衡的概述。
本文强调了形式化验证(FV)在Web3和DeFi安全中的重要性,指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行,能预防高危漏洞,并已在多个知名DeFi项目中应用,同时建议将FV尽早集成到开发生命周期中,以提升代码质量和安全性。
本文详细探讨了Web3项目中的无权限投票机制及其面临的治理攻击风险。作者通过实例阐述了治理攻击的实际案例,并提出了通过机制设计来应对这些攻击的框架,强调了在去中心化治理与安全之间的权衡。关键在于降低攻击的潜在价值、增加获取投票权的成本以及提高执行攻击的难度。
本文介绍了协作式 zk-SNARKs 的概念及其在多方计算 (MPC) 中的应用,重点讨论了实现协作 zk-SNARKs 的方法,包括选择合适的 MPC 方案、通用 zk-SNARK 方案的多方扩展和性能优化。文中强调了分布式秘密的安全计算和验证能力,以及在实际应用中的有效性和性能表现。
以太坊基金会宣布了2024年度学术资助计划的获奖者,共资助来自全球研究机构的41个项目,总预算为1,786,137.48美元。这些项目涵盖密码学、共识机制、安全、执行等以太坊发展的关键领域,旨在解决以太坊面临的根本挑战和机遇,推动以太坊生态系统的发展。
文章讨论了Solana智能合约中的SPL Associated Token程序的两个重要注意事项:不要将关联Token账户设置为其他Token账户的所有者,以及在验证关联Token账户时,不能仅依赖所有者和铸造信息。文中提供了相关的代码示例以及潜在的安全问题。
sec3团队在2022年Aptos CTF MOVEment比赛中获得第一名,展示了团队对Move语言的理解及其在安全领域的应用。文章描述了5个挑战及其解决方案,涉及的内容包括智能合约漏洞分析和应对策略,体现了团队的技术实力。
本文档介绍了Governor的设计,旨在限制特定漏洞的影响,通过赋予 Guardians 延迟来自已注册Token Bridge的Wormhole消息的选项来实现,特别是当其总名义价值非常大时,给守护者24小时的时间来删除通过软件错误创建的消息,而不是准确地表示原始链的状态,从而防止了漏洞利用。