全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

如何保护你的终端 - 前端最佳实践

本文介绍了在前端去中心化应用(dApp)中如何保护端点的多种策略,包括密钥轮换、Dot Env与后端代理、速率限制、域名白名单、JSON Web Tokens(JWT)以及端点防护。文章详细说明了每种方法的实施步骤、优缺点,并提供了相关工具的使用指南。
端点安全  密钥轮换  Dot Env  JSON Web Tokens  速率限制  域名白名单 

Radiant Capital 事件更新

2024年10月16日,Radiant Capital遭受了一次高度复杂的网络攻击,造成约5000万美元的损失。
Radiant Capital  网络攻击  恶意软件  DeFi  安全审计 

PolterFinance协议攻击分析---预言机价格操纵

基本信息2024.11.17PolterFinance遭受预言机价格操纵攻击,损失约12Million美金。我对此攻击事件进行了梳理,分析了代码漏洞,文章结尾附上自己写的简易PoC。
智能合约安全  合约审计  预言机操纵 
  • 黑梨888
  • 发布于 2024-12-07
  • 阅读 ( 976 )
  • ( 29 )

代码检查器 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Code Inspector,它是一个与Github集成的代码分析工具,通过机器学习和安全专家开发的工具自动进行代码分析,识别潜在漏洞并提出改进建议。
代码分析  漏洞  智能合约  GitHub  OpenZeppelin  安全 

如何进行智能合约审计:完整教程

本文介绍了进行智能合约审计的十个关键步骤,强调了系统性的方法和逐步处理复杂任务的重要性。通过获取文档背景、测试协议、分析测试套件及使用静态分析工具等步骤,可以有效识别和缓解潜在的安全风险,为审计师提供了清晰的工作框架。
智能合约  审计  安全策略  静态分析  测试覆盖  攻击向量 
  • cyfrin
  • 发布于 2024-12-05
  • 阅读 ( 351 )

技术详解 | 链上打新局中局,交税的狙击机器人

in  CertiK 安全知识分享

本文则是以代币“ZhongHua”为例解析该团伙的另一种RugPull手法:用复杂的税收功能逻辑,掩盖可用于RugPull的转账功能。我们通过“ZhongHua”代币案例,分析地址0xdf1a的另一种RugPull手法细节。
骗局案例分析 
  • CertiK
  • 发布于 2024-12-05
  • 阅读 ( 987 )
  • ( 31 )

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin社区合约库中的实用工具合约和库,包括用于签名验证、处理新数据类型和安全使用底层原语的工具。
签名验证  EIP712  ECDSA  RSA  zkEmail  ERC7913  多重签名 

实用工具 - OpenZeppelin 文档

本文档是 OpenZeppelin 合约库中 Utilities 模块的 API 文档,介绍了各种实用合约和库,包括数学运算、安全类型转换、ECDSA 签名、哈希函数、Merkle 证明、EIP712 签名、可重入保护、可暂停功能、计数器、ERC165 接口检测、位图、可枚举的 Map 和 Set、双端队列、环形缓冲区、检查点、堆、Merkle 树、CREATE2 部署、以及 address、arrays、bytes、strings 相关的实用函数。
OpenZeppelin  合约  安全  实用工具  数据结构  加密 

使用 OpenZeppelin Defender 自动化智能合约交易以实现每小时活动

本文介绍了如何使用 OpenZeppelin Defender 自动化智能合约的交易。通过创建一个每小时执行一次的 Action,该 Action 会向指定合约发送交易,从而实现自动向 Box 合约中添加对象并增加对象数量的功能。
OpenZeppelin Defender  自动化  智能合约  交易  定时任务  Relayer  Action 

使用 Certora 形式化验证在外部审计师之前发现高危漏洞

本文作者分享了使用 Certora Verification Language (CVL) 进行智能合约形式化验证的经验,通过将模糊测试中的不变量思想应用于 CVL,解决了之前在模糊测试中发现的真实漏洞的简化版本。文章详细对比了模糊测试与形式化验证的异同,并展示了使用 Certora 解决各种漏洞的实例,强调了 Certora 在漏洞检测方面的有效性和简洁性。
形式化验证  Certora  智能合约  CVL  模糊测试  安全漏洞 
  • Dacian
  • 发布于 2024-11-30
  • 阅读 ( 178 )

DCF&DCT tokens: The Tragedy of the Forced Investment Incident(2)

in  Security Incidents Analysis

On November 24, 2024, the protocol associated with DCF and DCT tokens was attacked, resulting in a total loss of $440K on the BSC.
价格操纵  闪电贷攻击  攻击事件 
  • Lori
  • 发布于 2024-11-26
  • 阅读 ( 988 )
  • ( 19 )

如何进行智能合约的白帽攻击(合法地攻击)并挽救资金

本文详细讨论了在智能合约中进行白帽黑客攻击的最佳实践,强调了如何合法合规地处理漏洞,避免法律问题,以及如何与相关协议沟通以修复漏洞。文章提出了五个关键步骤,并探讨了在没有安全联系人或激励措施的情况下应如何行动,以及在活跃攻击情况下是否可以进行攻击。
白帽黑客  智能合约  漏洞发现  安全措施  协议修复  法律合规 
  • cyfrin
  • 发布于 2024-11-25
  • 阅读 ( 307 )

如何成为智能合约审计师 - 路线图

本文提供了一条成为智能合约审计师(安全研究员)的详细路线图,涵盖必要的课程、技能和实践机会,以便有效提升在Web3安全领域的职业生涯。通过学习Solidity编程、参与审计课程以及实践和竞赛,读者可以不断提升自己的能力,最终在安全行业中获得高薪职位。
智能合约审计  Solidity  Web3  安全研究员  区块链  网络安全 
  • cyfrin
  • 发布于 2024-11-24
  • 阅读 ( 318 )

在Web3中避免加密诈骗并保护你的资金安全:第一部分

这篇文章介绍了如何在Web3环境中防止加密诈骗的基本知识,重点讨论了代币所有权、私钥管理以及常见的网络攻击如钓鱼和恶意软件的防范措施。作者详细说明了不同类型的钱包及其安全性,并提供了一系列最佳实践以保护资产安全。
加密诈骗  web3安全  私钥管理  钓鱼攻击  恶意软件  资产保护 
  • cyfrin
  • 发布于 2024-11-23
  • 阅读 ( 306 )

安全硬件的五个级别

本文探讨了可编程密码学和安全硬件的重要性,提出实现可编程密码学的五个安全硬件级别,并分析了每个级别的开发体验与安全性。文章强调,虽然当前安全硬件技术使得开发者可以创造出具有良好性能的应用,但要实现更高的安全性,仍需在硬件层进行创新,并展望未来在全球范围内实现高度安全的应用。
可编程密码学  安全硬件  零知识证明  多方计算  异构安全硬件 

Web3.0安全开发实践:Clarity最佳实践总结

in  Web3.0安全开发实践

在过去的一段时间里,CertiK团队对比特币生态系统及其发展进行了深入研究。同时,团队还审计了多个比特币项目以及基于不同编程语言的智能合约,包括OKX的BRC-20钱包和MVCDAO的sCrypt智能合约实现。现在,我们的研究重点转向了Clarity。CertiK团队在圆满完成多个Clarit
最佳实践  clarity 
  • CertiK
  • 发布于 2024-11-22
  • 阅读 ( 1022 )
  • ( 24 )

Polter Finance 漏洞:Fork-and-Pray 失败

本文详细分析了Polter Finance的安全漏洞及其导致的1200万美元损失,探讨了该平台的操作机制、缺陷及攻击过程。文章深入剖析了价格预言机系统的不足,以及如何通过闪电贷操纵价格,从而导致平台流动性被抽空。作者总结了漏洞的根源,并给出了改进建议,强调了独立安全审计的重要性。
Polter Finance  闪电贷  价格预言机  安全审计  去中心化金融  区块链安全 

加密货币钱包简介及如何确保其安全

本文详细介绍了加密货币钱包的类型、安全风险及威胁,并提供了保护钱包安全的最佳实践。文章还讨论了MPC与Multi-Sig技术的安全性对比,并强调了钱包设计中需要关注的安全措施。
加密货币钱包  MPC  Multi-Sig  私钥  安全风险  最佳实践 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 

ZTEE - 无信任供应链

这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
远程认证  安全硬件  恶意硬件  物理不可克隆函数  开放硬件  供应链安全