全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

智能合约安全审计入门篇 —— 抢跑

了解一个非常常见的攻击手法 —— 抢跑。
智能合约安全  安全审计  抢跑  智能合约 

12.slither检测器之四——变量重写检测

in  Slither漏洞扫描框架使用(初级篇)
遍历所有的节点处理变量读写关系的示例
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-07-04
  • 阅读 ( 3150 )

DeFi 合约安全的新模式:关注协议不变性

在 DeFi 合约中,常见模式是`Checks-Effects-Interactions(检查-生效-交互)`模式, 不够好,它会让开发者忘记协议的核心不变性。 作者提出了一个新的模式:FREI-PI: `功能检查-生效-交互+协议不变性`,让我们更多关注协议的不变性(安全性)。
DeFi  智能合约 
  • Tiny熊
  • 发布于 2023-07-04
  • 阅读 ( 4693 )
  • ( 74 )

11.slither检测器之三——批量函数调用检测

in  Slither漏洞扫描框架使用(初级篇)
本文会涉及到slither中几类call的区别,slither遍历node时的常用的递归框架,以及将这两类知识应用到批量函数调用风险的检测中。
Slither  漏洞检测  漏洞分析 
  • 小驹
  • 发布于 2023-07-03
  • 阅读 ( 3158 )
  • ( 5 )

10.slither检测器分析之二——自杀函数检测及shift汇编函数检测

in  Slither漏洞扫描框架使用(初级篇)
1.理解自杀函数检测自杀函数的风险与应用场景。自杀函数可以做为一种隐藏的transfer的手段。 2.shift汇编函数与其它语言的参数不一致,容易混淆。
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-07-03
  • 阅读 ( 2786 )

ERC777 与任意调用合约可能出现的安全问题

Hook 是一个强大功能,可以带来更灵活的组合性。向任何强大的武器一样,使用不当可能会伤害到自己。 当任意调用与 Hook 在一起,更要小心。
Hook  ERC777  区块链安全  智能合约 
  • Tiny熊
  • 发布于 2023-06-30
  • 阅读 ( 3953 )
  • ( 22 )

09.slither检测器分析之一——状态变量覆盖漏洞

in  Slither漏洞扫描框架使用(初级篇)
09.状态变量覆盖的含义状态变量覆盖是指子类中的状态变量将父类的状态变量进行覆盖,子类和父类使用了相同名称的状态变量。在这种情况下,如果操作子类的状态变量不会修改父类的状态变量,而此时代码的真实意图可能是为了修改父类的状态变量。
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-06-30
  • 阅读 ( 3115 )
  • ( 3 )

08.slither中数据依赖检测示例

in  Slither漏洞扫描框架使用(初级篇)
1.理解数据依赖性的概念。 2.在源代码分析时,可以从用户的输入跟踪受影响的合约变量。
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-06-30
  • 阅读 ( 2807 )

06. Slither中间语言SlitherIR理论介绍

in  Slither漏洞扫描框架使用(初级篇)
节点、表达式与IR的是什么样的关系?如何根据代码生如何提取出IR指令?在遍历节点时,有哪些对象经常用到。
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-06-30
  • 阅读 ( 3342 )

05.Slither Function对象常用方法分析使用示例

in  Slither漏洞扫描框架使用(初级篇)
介绍Slither中Function对象常用的方法及应用示例
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-06-28
  • 阅读 ( 2938 )

04.Slither Contract对象常用方法分析及应用示例

in  Slither漏洞扫描框架使用(初级篇)
Contract对象常用方法分析及应用示例
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-06-28
  • 阅读 ( 2960 )

Aptos Move合约中最常见的10种Bug

zellic 整理在审计过程把不断地看到Bug ,方便我们审视自己的Move合约。
Aptos  Move  智能合约 

Ethernaut 题库闯关 #25 - Motorbike

in  Ethernaut 题库闯关 - 精进 Solidity
Ethernaut 题库闯关 #25 - Motorbike
Ethernaut 

解析 Tornado 治理攻击 - 如何同一个地址上部署不同的合约

Tornado 治理攻击的关键是在提案通过后,在被执行的提案地址被销毁了 之后部署了一个攻击合约。
DeCert  治理攻击  CREATE  create3 
  • DeCert.me
  • 发布于 2023-06-02
  • 阅读 ( 4180 )
  • ( 80 )

智能合约安全 - 常见漏洞(第四篇)

智能合约安全 - 常见漏洞(第四篇)
区块链安全  漏洞分析  智能合约 

智能合约安全 - 常见漏洞(第三篇)

智能合约安全 - 常见漏洞(第三篇)
区块链安全  漏洞分析  智能合约 

智能合约安全 - 常见漏洞(第一篇)

这个智能合约安全系列将归纳总结 Solidity 智能合约开发过程中容易反复出现的问题和漏洞。
Solidity  漏洞分析  智能合约 

构建一个智能合约模糊测试工具,既有趣又有利可图

本文介绍了作者如何构建一个基于属性测试的工具 fuzzing-like-smarter-degen,用于检测智能合约中的漏洞。文章详细讨论了传统的单元测试的局限性,并介绍了模糊测试(fuzzing)的原理及其在智能合约安全检测中的应用。作者还介绍了如何通过假设库(Hypothesis)实现模糊测试,并展示了该工具的运行效果。
模糊测试  智能合约  漏洞检测  属性测试  Hypothesis  以太坊 
  • jat9292
  • 发布于 2023-04-15
  • 阅读 ( 1106 )

什么时候会发生重入攻击

什么时候会发生重入攻击
Solidity  重入攻击 

Damn Vulnerable DeFi Backdoor 解决方案

本文分析了Damn Vulnerable DeFi v3 Backdoor挑战,该挑战涉及利用Gnosis Safe v1.3.0钱包注册表的漏洞。攻击者通过部署恶意合约,在Gnosis Safe钱包创建过程中利用delegatecall机制,在钱包的上下文中批准攻击合约转移token,最终耗尽注册表中的所有token。
Gnosis Safe  delegatecall  漏洞利用  智能合约  代理合约  安全 
  • Dacian
  • 发布于 2023-02-05
  • 阅读 ( 39 )