全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Polter Finance 漏洞:Fork-and-Pray 失败

本文详细分析了Polter Finance的安全漏洞及其导致的1200万美元损失,探讨了该平台的操作机制、缺陷及攻击过程。文章深入剖析了价格预言机系统的不足,以及如何通过闪电贷操纵价格,从而导致平台流动性被抽空。作者总结了漏洞的根源,并给出了改进建议,强调了独立安全审计的重要性。
Polter Finance  闪电贷  价格预言机  安全审计  去中心化金融  区块链安全 

加密货币钱包简介及如何确保其安全

本文详细介绍了加密货币钱包的类型、安全风险及威胁,并提供了保护钱包安全的最佳实践。文章还讨论了MPC与Multi-Sig技术的安全性对比,并强调了钱包设计中需要关注的安全措施。
加密货币钱包  MPC  Multi-Sig  私钥  安全风险  最佳实践 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 

ZTEE - 无信任供应链

这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
远程认证  安全硬件  恶意硬件  物理不可克隆函数  开放硬件  供应链安全 

Solidity DoS Attack

在 Solidity 智能合约开发中,DoS(Denial of Service,拒绝服务)攻击是一个常见且需要关注的安全问题。本文探讨了 Solidity 中的三种主要 DoS 攻击类型及其防御方法
DoS  returnbombAttack 
  • Q1ngying
  • 发布于 2024-11-10
  • 阅读 ( 750 )
  • ( 18 )

安全指南 | Web3.0渗透测试概念与实践详解

in  CertiK 安全知识分享

Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中,我们将探讨Web3.0渗透测试是什么、为什么它很重要,以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。
渗透测试 
  • CertiK
  • 发布于 2024-11-08
  • 阅读 ( 1245 )
  • ( 40 )

揭秘Scam-as-a-Service:警惕钓鱼攻击的产业化

in  CertiK 安全知识分享

本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。
钓鱼攻击  网络安全 
  • CertiK
  • 发布于 2024-11-05
  • 阅读 ( 1255 )
  • ( 45 )

【安全月报】| 10月区块链安全事件有所上涨,因黑客攻击等损失金额达1.47亿美元

10月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.47亿美元
安全月报  黑客攻击  web3安全 

如何使用 QuickNode 设置来源域名白名单

本文详细介绍了如何在QuickNode上设置请求来源白名单,以提高应用程序的安全性。通过详细的步骤和示例,读者可以了解referrer白名单的定义、设定方法及其重要性,并获得一些额外的资源链接以提升安全性。
Referrer Whitelisting  QuickNode  安全性  DApp  HTTP头  API接口 

事后分析(2024年9月)

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程,包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险,最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。
Maia DAO  漏洞  资金救援  Permit2  Arbitrum  LayerZero 
  • maiaDAO
  • 发布于 2024-11-02
  • 阅读 ( 198 )

如何使用硬件钱包进行(不)盲签Safe多重签名交易

这篇文章讨论了辐射漏洞,其中超过5300万美元被盗,原因是受影响的多签名签名者盲目地签署了一个转移合同所有权的关键元交易
Radiant exploit  EIP-712  Security  多签  硬件钱包  元交易 

零时科技 || Ramses 攻击事件分析

我们监测到 Arbitrum 链上的攻击事件,Ramses Exchange项目被攻击,攻击总造成约 27 ETH 的损失,约为 70,000 USD 。

十大Web3.0安全最佳实践方式(全篇)超长干货收藏版!

in  CertiK 安全知识分享

十大Web3.0安全最佳实践方式
安全  重入攻击  预言机 
  • CertiK
  • 发布于 2024-10-29
  • 阅读 ( 1815 )
  • ( 106 )

Fuel Attackathon 中发现的五大漏洞

本文详细介绍了Fuel协议在Immunefi平台上举办的Attackathon活动中发现的五个关键漏洞,包括漏洞的严重性、影响、资产及修复情况。
Fuel  immunefi  Layer 2  漏洞  安全  区块链 

Radiant Capital 事件后总结

2024年10月16日,Radiant Capital遭遇安全漏洞,损失约5000万美元。攻击者通过精密的恶意软件注入,成功篡改了至少三名长期贡献者的硬件钱包。这些开发者使用硬件钱包,且地理位置分散,这降低了被物理攻击的可能性。攻击者在正常的多重签名交易过程中,以合法的交易数据诱骗签名,导致数百万美元被盗。事件引发了广泛的安全讨论,强调了在DeFi环境中,盲签名及常见错误消息可能掩盖更深层次问题的风险。为避免类似事件,建议实施多层签名验证、独立设备校验、增强硬件钱包安全性等监控和审计机制。
Radiant Capital  安全漏洞  恶意软件  多重签名  DeFi  硬件钱包 

零时科技 || Radiant Capital 攻击事件分析

RadiantCapital项目被攻击,共造成50M USD的损失。主要原因是 Radiant 的核心人员安全意识不足,导致攻击者构造虚假的前端骗取核心人员签名攻击交易。
黑客攻击  攻击事件  区块链安全 

数据验证环节漏洞导致损失330万美元,详解Socket攻击事件始末

in  CertiK 安全知识分享

2024年1月16日,SocketTech遭到攻击,损失约330万美元。攻击者利用了Socket某合约中数据验证环节的漏洞,通过恶意数据输入盗取了授权合约的用户资金。这次攻击共给230个地址带来损失,最大的单地址损失约为65.6万美元。、
  • CertiK
  • 发布于 2024-10-18
  • 阅读 ( 676 )

为什么配置了VPN还是无法上网?

为什么配置了VPN还是无法上网?

TITANX: The Tragedy of the Forced Investment Incident

in  Security Incidents Analysis

On September 16, 2024, the TITANX suffered an attack and resulted in an estimated total loss $433,000 on the Ethereum network. This incident involved.
安全事件分析  闪电贷攻击 
  • Lori
  • 发布于 2024-10-11
  • 阅读 ( 1084 )
  • ( 38 )

Bedrock_DeFi攻击事件--代码逻辑漏洞

2024年9月26日BedRockDeFi被攻击损失1.7M我对此进行了分析和PoC编写。本次漏洞的本质是逻辑漏洞。
智能合约安全  逻辑漏洞  合约审计 
  • 黑梨888
  • 发布于 2024-10-07
  • 阅读 ( 1044 )
  • ( 37 )