全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

SharkTeam:Onyx Protocol攻击事件原理分析

in  智能合约安全
北京时间2023年11月1日,由于redeemUnderlying()函数存在精度损失漏洞,Ethereum链上项目OnyxProtocol遭受攻击,攻击者已获利210万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全
SharkTeam  安全事件分析  区块链安全 
  • SharkTeam
  • 发布于 2023-11-02
  • 阅读 ( 2884 )
  • ( 9 )

Metamask Snaps:在沙盒中嬉戏

本文深入探讨了Metamask Snaps的安全机制,包括其沙盒环境的三个安全层:隔离的Iframe、LavaMoat和SES,并详细分析了一个属性欺骗漏洞,该漏洞允许恶意Snap绕过权限检查,执行未经授权的操作,例如发送以太坊交易。最后,文章展示了漏洞的PoC,并介绍了Metamask的修复方案。
Metamask Snaps  沙盒环境  LavaMoat  SES  属性欺骗  漏洞分析  安全 
  • osecio
  • 发布于 2023-11-02
  • 阅读 ( 625 )

聚焦 Solidity、DeFi 与跨链桥:确保 opBNB 生态安全发展

opbnb的安全实践
Solidity  DeFi  跨链 

协议审计报告模板

这是一份由Cyfrin.io提供的协议审计报告模板,包括协议概要、风险分类、审计详细信息以及发现的安全问题。报告结构清晰,涵盖了审计的范围、角色和问题分类,虽然未提供具体的发现内容,但整体内容展示了安全审计的重要性和标准。
协议审计  风险分类  安全漏洞  以太坊  Solidity  审计报告 
  • Cyfrin
  • 发布于 2023-10-27
  • 阅读 ( 649 )

CVE-2023-4004漏洞利用细节

该文章分析了CVE-2023-4004漏洞的成因,该漏洞是由于在nftables的`nft_pipapo_remove`函数中,当移除一个pipapo set中的元素时,没有正确处理`NFT_SET_EXT_KEY_END`的缺失,导致可以多次释放同一元素。
CVE-2023-4004  nftables  netfilter  double free  堆喷  ROP 
  • google
  • 发布于 2023-10-21
  • 阅读 ( 545 )

SharkTeam:Platypus Finance攻击事件原理分析

in  智能合约安全
北京时间2023年10月12日,PlatypusFinance遭受闪电贷攻击,获利约223万美元,目前追回57.5万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0x464073
SharkTeam  安全事件分析 
  • SharkTeam
  • 发布于 2023-10-20
  • 阅读 ( 3080 )
  • ( 3 )

SharkTeam:BH闪电贷攻击原理分析

in  智能合约安全
北京时间2023年10月11日,BNBChain上的BH代币遭受攻击,攻击者获利约120万美元。SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析攻击者地址:0xfdbfceea1de36036408
闪电贷  安全事件分析  SharkTeam 
  • SharkTeam
  • 发布于 2023-10-19
  • 阅读 ( 3590 )
  • ( 7 )

SharkTeam:2023年第三季度Web3安全报告

in  智能合约安全
一、概述全球数字化浪潮正迎来飞速发展,而区块链技术也正逐成为数字经济不可或缺的核心基础设施之一。然而,随着区块链应用场景不断扩展,这一领域所面临的安全挑战也愈发显著。在这一大背景下,深入了解Web3区块链的安全状况以及加密行业的监管政策,已经成为确保区块链应用安全和稳定运行的关键举措之一。本报
SharkTeam  Web3  区块链安全 
  • SharkTeam
  • 发布于 2023-10-19
  • 阅读 ( 3422 )
  • ( 4 )

SharkTeam:起底朝鲜APT组织Lazarus Group,攻击手法及洗钱模式

in  智能合约安全
国家级APT(AdvancedPersistentThreat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专门针对特定目标进行长期的持续性网络攻击。朝鲜APT组织LazarusGroup就是非常活跃的一个APT团伙,其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起
SharkTeam  安全事件分析 
  • SharkTeam
  • 发布于 2023-10-13
  • 阅读 ( 4841 )
  • ( 7 )

CSPRNGs:如何正确生成随机数

本文讨论了安全随机数生成的重要性,特别是在生成敏感数据(如非ces和私钥)时。文章介绍了不同类型的随机数生成器,包括伪随机数生成器(PRNG)和加密安全伪随机数生成器(CSPRNG),并分析了实际案例中的安全漏洞,如与比特币开发工具相关的漏洞。最后,提供了生成安全随机数的最佳实践。
随机数生成器  CSPRNG  安全漏洞  比特币  PRNG  ECDSA 
  • zellic
  • 发布于 2023-10-12
  • 阅读 ( 895 )

智能合约审计终极指南

本文探讨了智能合约审计的重要性,包括以太坊虚拟机(EVM)、Solidity编程概念以及测试和识别安全漏洞的最佳实践。通过理解EVM的工作原理、Solidity的基础和高级概念、Foundry的使用以及Web3协议的交互,读者可以掌握智能合约审计的关键技能,并了解常见的攻击向量和安全报告,从而提高智能合约的安全性。
智能合约审计  以太坊虚拟机  EVM  Solidity  安全漏洞  Foundry 

2023 年智能合约审计完整路线图

本文为智能合约审计师的入门指南,概述了成为一名智能合约审计师的步骤,包括学习编程基础、Web3 概念、Solidity 语言、Defi 原理,并通过 Secureum 平台学习安全知识。
智能合约审计  Solidity  Web3  DeFi  安全漏洞  Code4rena 

SharkTeam:典型钓鱼攻击链上资产转移分析

in  智能合约安全
2023年9月7日,地址(0x13e382)遭遇钓鱼攻击,损失超2,400万美元。钓鱼黑客通过资金盗取、资金兑换和分散式地资金转移,最终损失资金中3,800ETH被相继分批次转移至Tornado.Cash、10,000ETH被转移至中间地址(0x702350),以及1078,087DAI至今保留在
钓鱼攻击  SharkTeam  安全事件分析 
  • SharkTeam
  • 发布于 2023-10-09
  • 阅读 ( 2956 )
  • ( 4 )

Web3 中最常用的身份验证因素是什么?

本文是Web3Auth团队在Token2049期间对Web3用户关于双因素认证(2FA)偏好的调研结果。调研发现,用户普遍偏好身份验证App和Passkeys作为2FA的最佳组合,认为它们更易于使用。而对于iCloud、密码和安全问题等方式的接受度较低,主要是因为中心化风险、记忆困难和容易被AI操纵等问题。同时,用户也意识到在安全性和便利性之间需要权衡,并根据资产的敏感程度来选择是否启用2FA。
双因素认证  web3安全  身份验证  Passkeys  Authentication App  MPC 

XSDWETHpool Hack Reply

Hack事件简介项目方在BSC上的XSD-WBNB池子被黑客攻击
  • bixia1994
  • 发布于 2023-10-04
  • 阅读 ( 2156 )
  • ( 7 )

依赖混淆:我是如何入侵苹果、微软以及其他几十家公司。

本文讲述了一种新颖的供应链攻击方法,作者通过上传恶意Node.js包到npm注册表,利用内部包名称寻找目标公司的安全漏洞,成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。
供应链攻击  依赖混淆  恶意代码  安全漏洞  npm  Python 

SharkTeam:Web3安全实践与创新

in  智能合约安全
在Web3领域,安全漏洞、黑客攻击已愈发成为用户和投资者重点关注的领域。如何保障加密资产的安全,Web3黑暗森林中又有哪些新的攻击模式产生,SharkTeam将从一线进行分享和讨论。我们先来看一下2023年1月到8月的安全事件数量和损失的数据统计。由于熊市影响,加密领域的资产总量降低,因安全问
  • SharkTeam
  • 发布于 2023-09-26
  • 阅读 ( 2670 )
  • ( 2 )

ERC1271重放漏洞 - 影响15+团队

文章讲述了ERC1271标准中签名重放漏洞的发现与解决过程。作者发现,如果智能合约签名的摘要不包含智能合约账户地址,则可能在同一所有者的多个账户之间重放签名。文章讨论了钱包和外部应用程序在此问题中的责任,并列出了受影响的钱包以及修复方案,并强调了EIP参考实现的安全问题和签名使用的注意事项。
ERC1271  签名重放  智能合约  安全漏洞  数字签名  钱包安全 

任意调用 & Slitherin 新检测器发布

本文介绍了Pessimistic.io团队开发的Slitherin工具的最新版本,重点介绍了新增加的“Arbitrary Call”检测器,该检测器旨在帮助审计人员发现智能合约中潜在的任意外部调用风险。此外,文章还提到了Slitherin与AuditWizard.io的合作,以及Slitherin未来的发展计划。
Slither  Slitherin  智能合约  安全审计  任意调用  漏洞检测 

寻找漏洞:发现并报告Premia Finance中的300万美元漏洞

这篇文章讨论了如何发现和修复区块链项目中的安全漏洞,特别是Premia Finance的一个例子。文章深入探讨了寻找目标、研究方法、发现和修复漏洞的过程,强调了了解项目机制的重要性和不同协议的风险评估。
安全漏洞  区块链  漏洞发现  DeFi  Premia Finance  bug bounty 
  • zellic
  • 发布于 2023-09-16
  • 阅读 ( 511 )