CertiK安全专家团队频繁检测到多起手法相同的“退出骗局”,也就是我们俗称的RugPull。在我们进行深入挖掘后发现,多起相同手法的事件都指向同一个团伙,最终关联到超过200个Token退出骗局。这预示着我们可能发现了一个大规模自动化的,通过“退出骗局”方式进行资产收割的黑客团队。在这些退
CertiK《Hack3d:2024年第三季度Web3.0安全报告》现已发布,本次报告深入分析了2024年7月至9月的链上安全状况,本季度总损失金额为7.53亿美元,网络钓鱼和私钥泄露是本季度造成资产损失的主要原因。关键数据2024年第三季度,共发生了155起链上安全事件,损失金额达到7.5
我们曾经讨论了零知识证明的先进形式化验证:如何验证一条ZK指令。通过形式化验证每条zkWasm指令,我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中,我们将关注发现漏洞的视角,分析在审计和验证过程中发现的具体漏洞,以及从中得到的经验和教训。如要了解有关零知识证明(ZKP)区块链的
本文将介绍零知识证明以及其在零知识证明中应用的逻辑。
为了深入理解形式化验证技术是如何应用于zkVM(零知识虚拟机)之上的,本文将聚焦于单条指令的验证。
1月22日,Concentric.fi遭到攻击,损失超过185万美元。Concentric在其官方社交账号宣布,此次攻击是一次有针对性的“社会工程学攻击”。所谓社会工程学攻击,是指攻击者通过与被攻击者的正常交流,骗取其信任,对其心理造成影响后泄漏机密或者作出某些行为,以达到攻击者的目的。在针对
2024年1月16日,SocketTech遭到攻击,损失约330万美元。攻击者利用了Socket某合约中数据验证环节的漏洞,通过恶意数据输入盗取了授权合约的用户资金。这次攻击共给230个地址带来损失,最大的单地址损失约为65.6万美元。、
在Web3.0领域,智能合约的安全性也会被其部署区块链的设计和运行时环境影响。这有很多原因,例如:①开发者必须使用新的特定领域语言;②交易执行可能涉及异步函数最终性;③对于不同的区块链环境,并不总是具有相同的工具。在本文中,我们将探讨基于不同的运行时模型,智能合约安全性是如何变化的。
十大Web3.0安全最佳实践方式
Web3.0市场与传统金融市场都源自相同的金融逻辑,因此,也同样难逃遭受市场操纵的命运。许多困扰股票和其他金融商品的操纵手段,如洗售交易、制造恐慌情绪以及拉高出货等,也同样出现在Web3.0市场。值得注意的是,由于Web3.0市场的去中心化特性以及监管规则的缺失,这些操纵行为更容易得逞。
本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。
Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中,我们将探讨Web3.0渗透测试是什么、为什么它很重要,以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。
桌面钱包在Web3.0生态系统中扮演着关键角色,它们为用户在去中心化网络中安全地管理数字资产提供了可靠的解决方案。Cointelegraph的报告[1]指出,据Bitfinex交易所的分析师观察显示,截至2023年12月1日,全球数字货币持有者的数量显著增长,已经从年初的4.32亿增长至5.75亿
CryptoGrab专门为攻击者提供网络钓鱼服务,包括Nova Drainer和更古早的助记词网络钓鱼技术。这篇文章将重点介绍该组织正在进行的危险活动,并与大家分享如何应对以及保护自己的资产。
本文则是以代币“ZhongHua”为例解析该团伙的另一种RugPull手法:用复杂的税收功能逻辑,掩盖可用于RugPull的转账功能。我们通过“ZhongHua”代币案例,分析地址0xdf1a的另一种RugPull手法细节。
CertiK将在此专栏发布Web3.0相关的安全漏洞技术文章,帮助大家了解区块链相关技术。
CertiK总部位于纽约,由耶鲁大学和哥伦比亚大学的两位教授创立。作为头部Web3安全机构,CertiK以守护Web3生态的安全为愿景,依托其核心技术和人才优势,为全球150个国家的4682个项目提供审计、安全评级、合规与反洗钱、投资和安全相关服务,致力于最大化客户利益,并持续为社区创造价值。
Web3.0安全开发实践