全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

洗劫数百万美元,警惕Web3.0独有钓鱼攻击升级版:Ice Phishing

in  CertiK 安全知识分享

在众多欺诈类别中,钓鱼攻击是欺诈者们最常使用的方式之一。然而,在Web3.0领域,不止有着钓鱼攻击,还有一种会对社区产生重大威胁的「IcePhishing」攻击。
网络钓鱼 
  • CertiK
  • 发布于 2025-01-16
  • 阅读 ( 868 )
  • ( 14 )

零时科技 || SorraStaking 攻击事件分析

我们监控到多起针对 Ethereum 链上项目 Sorra 攻击事件,攻击共造成 41, 000 USD 的损失。
黑客攻击  攻击事件  web3安全 

零时科技 || Unilend 攻击事件分析

我们监控到一笔Ethereum链上的异常交易,被攻击的项目为Unilend,事件共造成约 197k USD 的损失。
黑客攻击  攻击事件  web3安全 

suctf2025 Misc blockchain

SUCTF blockchain wp
ctf 
  • Q1ngying
  • 发布于 2025-01-14
  • 阅读 ( 1042 )
  • ( 27 )

SorStaking合约攻击分析---代码逻辑漏洞

2025.1.5日SorStaking合约遭受逻辑漏洞攻击,只损失了43K。本文对此次攻击进行梳理。
智能合约审计  合约漏洞 
  • 黑梨888
  • 发布于 2025-01-09
  • 阅读 ( 779 )
  • ( 18 )

Track-CTF blockchain-美梦成真

利用 evm 冷热读特点 staticcall 两次调用返回不同的值实现绕过
ctf  Solidity 
  • Q1ngying
  • 发布于 2025-01-08
  • 阅读 ( 828 )
  • ( 17 )

区块链数据保护与隐私合规:深入探讨GDPR&HIPAA

in  Web3.0安全开发实践

区块链技术的应用早已超出了作为其起源的数字资产行业,各类组织正积极探索区块链在存储和管理多种类型数据方面的潜力与应用场景。本文梳理了相关的内容以供参考。
合规  隐私  数据保护 
  • CertiK
  • 发布于 2025-01-07
  • 阅读 ( 1697 )
  • ( 20 )

CertiK Hack3D: Web3.0 年度安全报告(2024)

in  CertiK 安全知识分享

2024年Web3.0领域因安全事件导致的总损失超过23.63亿美元,同比增幅达31.61%。全年共发生760起安全事件,其中网络钓鱼和私钥泄露是两大主要攻击手段,分别造成10.5亿美元和8.55亿美元的损失。网络钓鱼攻击造成的损失占全年总损失额的近50%,成为影响行业安全的最大威胁。
CertiK 
  • CertiK
  • 发布于 2025-01-02
  • 阅读 ( 588 )
  • ( 15 )

如何正确进行审计?

Arsen 分享了他在进行代码审计时的一些经验和策略,强调没有一劳永逸的方法,而是需要个人不断调整自己的审计方法,并提出了一套审计框架,帮助提高审计效率和质量。
审计 
  • Arsen
  • 发布于 2025-01-02
  • 阅读 ( 1656 )
  • ( 38 )

如何使用端点装甲保护你的终端安全

文章介绍了如何在区块链应用中通过QuickNode的Endpoint Armor增强终端安全性,包括方法限制、全局速率限制和访客速率限制的配置,并通过React应用示例展示了如何与安全的区块链终端进行交互。
Endpoint Armor  QuickNode  区块链安全  速率限制  react  ethers.js 

CloberDex-Rebalancer攻击分析---重入漏洞

基础信息2024.12.10日CloberDex合约遭受重入攻击导致损失133.7个WETH。我对此攻击进行了分析,深入代码查看漏洞根源,梳理攻击流程,并基于foundry完成了一份PoC。本次攻击的根因:未检测用户输入+重入漏洞。
智能合约审计  智能合约安全  重入漏洞 
  • 黑梨888
  • 发布于 2024-12-31
  • 阅读 ( 584 )
  • ( 15 )

对ZK应用程序的审计示例:Tornado Cash

本文通过对基于零知识证明的项目 Tornado Cash 的分析,探讨了 ZK 审计的思维方式和关键点。作者详细说明了 Tornado 的智能合约逻辑,尤其是与 ZK 证明相关的关键部分,包括存款和取款的流程,以及潜在的攻击向量和安全措施。此外,文章还涉及到 Merkle 树和 Pedersen 哈希的实现及其在安全性中的重要性,强调了对 ZK 项目分析的复杂性及其快速发展的领域特性。
零知识证明  Tornado Cash  审计  安全分析  智能合约  Merkle 树 

实践指南:如何在审计后安全地启动 DeFi 协议

在完成审计后,采取额外的安全措施来为用户提供更强的保护。文章提供了多项关键步骤,包括进行多次审计、限制初始存款、在测试网进行测试、建立监控与警报机制以及注册漏洞奖励平台,以此来提升协议安全性并降低风险。
DeFi安全  DeFi 
  • mixbytes
  • 发布于 2024-12-17
  • 阅读 ( 853 )
  • ( 42 )

如何保护你的终端 - 前端最佳实践

本文介绍了在前端去中心化应用(dApp)中如何保护端点的多种策略,包括密钥轮换、Dot Env与后端代理、速率限制、域名白名单、JSON Web Tokens(JWT)以及端点防护。文章详细说明了每种方法的实施步骤、优缺点,并提供了相关工具的使用指南。
端点安全  密钥轮换  Dot Env  JSON Web Tokens  速率限制  域名白名单 

Radiant Capital 事件更新

2024年10月16日,Radiant Capital遭受了一次高度复杂的网络攻击,造成约5000万美元的损失。
Radiant Capital  网络攻击  恶意软件  DeFi  安全审计 

PolterFinance协议攻击分析---预言机价格操纵

基本信息2024.11.17PolterFinance遭受预言机价格操纵攻击,损失约12Million美金。我对此攻击事件进行了梳理,分析了代码漏洞,文章结尾附上自己写的简易PoC。
智能合约安全  合约审计  预言机操纵 
  • 黑梨888
  • 发布于 2024-12-07
  • 阅读 ( 733 )
  • ( 29 )

技术详解 | 链上打新局中局,交税的狙击机器人

in  CertiK 安全知识分享

本文则是以代币“ZhongHua”为例解析该团伙的另一种RugPull手法:用复杂的税收功能逻辑,掩盖可用于RugPull的转账功能。我们通过“ZhongHua”代币案例,分析地址0xdf1a的另一种RugPull手法细节。
骗局案例分析 
  • CertiK
  • 发布于 2024-12-05
  • 阅读 ( 748 )
  • ( 31 )

DCF&DCT tokens: The Tragedy of the Forced Investment Incident(2)

in  Security Incidents Analysis

On November 24, 2024, the protocol associated with DCF and DCT tokens was attacked, resulting in a total loss of $440K on the BSC.
价格操纵  闪电贷攻击  攻击事件 
  • Lori
  • 发布于 2024-11-26
  • 阅读 ( 772 )
  • ( 19 )

安全硬件的五个级别

本文探讨了可编程密码学和安全硬件的重要性,提出实现可编程密码学的五个安全硬件级别,并分析了每个级别的开发体验与安全性。文章强调,虽然当前安全硬件技术使得开发者可以创造出具有良好性能的应用,但要实现更高的安全性,仍需在硬件层进行创新,并展望未来在全球范围内实现高度安全的应用。
可编程密码学  安全硬件  零知识证明  多方计算  异构安全硬件 

Web3.0安全开发实践:Clarity最佳实践总结

in  Web3.0安全开发实践

在过去的一段时间里,CertiK团队对比特币生态系统及其发展进行了深入研究。同时,团队还审计了多个比特币项目以及基于不同编程语言的智能合约,包括OKX的BRC-20钱包和MVCDAO的sCrypt智能合约实现。现在,我们的研究重点转向了Clarity。CertiK团队在圆满完成多个Clarit
最佳实践  clarity 
  • CertiK
  • 发布于 2024-11-22
  • 阅读 ( 809 )
  • ( 24 )