安全文章 - 第25页

单函数重入攻击

本文详细介绍了智能合约中常见的重入攻击，包括其原理、攻击示例和预防方法。通过分析一个简单的 Vault 合约的 withdraw 函数中的漏洞，展示了攻击者如何利用外部调用重复调用 withdraw 函数，从而多次提取以太币。文章还提供了使用 ReentrancyGuard 和 Checks-Effects-Interactions 模式来预防重入攻击的方法。

重入攻击智能合约 ReentrancyGuard Checks-Effects-Interactions 以太坊安全漏洞

Ackee
发布于 2024-06-21
阅读 ( 82 )

Wormhole 安全 - 治理者

本文档介绍了Governor的设计，旨在限制特定漏洞的影响，通过赋予 Guardians 延迟来自已注册Token Bridge的Wormhole消息的选项来实现，特别是当其总名义价值非常大时，给守护者24小时的时间来删除通过软件错误创建的消息，而不是准确地表示原始链的状态，从而防止了漏洞利用。

Wormhole Governor Token Bridge 漏洞安全 Guardian

wormhole-foundation
发布于 2024-06-21
阅读 ( 696 )

Abracadabra Money 650万美元被黑事件分析：Cauldron V4漏洞利用详解

本文深入分析了 Abracadabra Money 遭受的 650 万美元攻击事件，重点剖析了 Cauldron V4 合约的漏洞利用原理。

Abracadabra Money Cauldron V4 漏洞利用 DeFi安全重入攻击闪电贷

extropy-io
发布于 2024-06-15
阅读 ( 1008 )

服务条款 - 应用

本文档是Dedaub公司提供的软件服务的使用协议条款。该服务主要针对EVM区块链协议，通过静态分析、形式化验证等技术检测智能合约的安全漏洞。协议规定了服务的使用范围、费用支付、知识产权、数据处理、责任限制以及争议解决方式等内容，用户使用该服务需要同意这些条款。

智能合约安全服务条款区块链安全静态应用安全测试形式化验证漏洞检测

Dedaub
发布于 2024-06-13
阅读 ( 881 )

SharkTeam：UwU Lend攻击事件分析

in 智能合约安全

2024年6月10日，UwULend遭受攻击，项目方损失约1930万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

安全事件分析

SharkTeam
发布于 2024-06-13
阅读 ( 2994 )
( 28 )

供应链攻击：一个新纪元

本文深入探讨了Web3中供应链攻击的兴起，以及LavaMoat作为防御机制的原理、特性及其存在的绕过方式。文章详细分析了LavaMoat的策略文件、NPM防劫持和Scuttling等安全特性，并通过实例展示了如何利用Webpack和JS Realms的漏洞绕过LavaMoat的保护机制，最终实现供应链攻击。此外，文章还介绍了Metamask针对这些漏洞的修复方案，以及SnowJS的未来发展方向。

供应链攻击 Web3 LavaMoat webpack SnowJS Scuttling

osecio
发布于 2024-06-11
阅读 ( 338 )

智能合约全面审计准备 — 入门指南

本文主要介绍了智能合约审计的准备工作，包括选择审计机构、审计范围和定价、审计流程、整体方法、预定审计时间、代码准备、审计费用和包含内容，以及审计准备情况，强调了全面审计对于确保项目安全和成功的投资的重要性。

智能合约审计代码安全漏洞渗透测试区块链安全

Yong kang Chia
发布于 2024-06-09
阅读 ( 785 )

Euler Finance 攻击事件分析

in Security Incidents Analysis

💡 EulerFinance攻击事件分析 - Loan Protocol、资不抵债问题、缺乏持仓健康检查

借贷杠杆 DeFi安全智能合约安全安全事件分析

Lori
发布于 2024-06-09
阅读 ( 2950 )
( 81 )

Vyper重入漏洞解析

在这篇文章中，我们探讨了Vyper智能合约中重入攻击的机制、案例以及防御方法。重入攻击是一种严重的安全威胁，当合约在发送资金之前未能更新其状态时，攻击者可以通过递归调用提取函数来耗尽合约资金。重入攻击不仅仅在solidity中很常见，在Vyper智能合约中同样应该注意！

Vyper 重入攻击智能合约安全

Spade_sec
发布于 2024-06-09
阅读 ( 1885 )
( 15 )

damn-vulnerable-defi Puppet and puppetV2-题解

攻击类型：闪电贷价格操纵（瞬时价格）难度值较低，可以通过这题来对价格操纵有个简单的了解~

闪电贷攻击价格操纵 damn-vulnerable-defi

Lori
发布于 2024-06-04
阅读 ( 2086 )
( 27 )

damn-vulnerable-defi Selfie题解

通过这道简单的ctf题来了解DAO治理过程中可能遇到的攻击，可以结合这篇文章一块学习~从设计原理来学习ERC20Snapshot and ERC20Votes:https://learnblockchain.cn/article/8304

damn-vulnerable-defi Governance

Lori
发布于 2024-06-04
阅读 ( 1713 )
( 15 )

从设计原理来学习ERC20Snapshot and ERC20Votes

了解将Token作为投票权可能带来的威胁，了解oz的ERC20Snapshot and ERC20Votes背后的原理，以及作为开发者需要注意什么问题。

ERC20Snapshot ERC20Votes DAO治理

Lori
发布于 2024-06-04
阅读 ( 2616 )
( 35 )

5月区块链安全事件增长，因黑客攻击等损失金额达1.54亿美元

5月发生较典型安全事件超37起，因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.54亿美元

黑客攻击区块链安全

零时科技
发布于 2024-06-03
阅读 ( 2046 )
( 19 )

密码学安全理论与开发系列文章：01-密码

in 密码学和网络安全

第一部分让我们来了解密码学的常用概念

密码学区块链安全

Louis
发布于 2024-06-02
阅读 ( 2032 )
( 11 )

签名延展性攻击

本文根据Owen21小时合约审计课程中第二部分合约升级指南部分中关于离线签名的拓展性问题展开讨论。原视频：https://www.youtube.com/watch?v=DRZogmD647U

智能合约安全安全技术研究签名离线签名 ECDSA

Q1ngying
发布于 2024-06-02
阅读 ( 3159 )
( 43 )

由EIP-2771引发的血案: TIME token 安全案例详解

跨项目使用 abi.encode 传递信息是十分危险的操作，一个18W美金的安全事件。

DeFi

Alvan
发布于 2024-05-31
阅读 ( 2567 )
( 16 )

部分集合安全

该文档提出了部分集合安全（PSS）的概念，旨在解决复制安全中现有的一些问题，例如强制验证器验证其不感兴趣的消费者链、小验证器验证额外链的成本高昂以及新消费者链难以加入复制安全。PSS允许每个消费者链仅由提供者验证器集的一个子集来保护，通过引入Top N和Opt In机制，使得验证器可以选择加入或退出特定消费者链的验证，从而提高灵活性和效率。

复制安全部分集合安全验证器消费者链 Top N Opt In

cosmos
发布于 2024-05-28
阅读 ( 412 )

安全审计中Try_Catch问题

目前中项目的代码中经常发现使用Try/Catch来捕获错误，防止让程序revert，而是让它能继续执行下去。在使用过程中，容易出现的问题是，开发人员认为try/catch能捕获所有的异常错误。从而可以处理所有的异常情况。实际情况是有两类错误捕获不到： - 1 try调用的合约地址为非合约地址，co

trycatch

SmileBits
发布于 2024-05-24
阅读 ( 1482 )
( 7 )

SharkTeam：Web3常见钓鱼方式分析与安全防范建议