精选安全文章 - 第2页

如何进行智能合约的白帽攻击(合法地攻击)并挽救资金

本文详细讨论了在智能合约中进行白帽黑客攻击的最佳实践，强调了如何合法合规地处理漏洞，避免法律问题，以及如何与相关协议沟通以修复漏洞。文章提出了五个关键步骤，并探讨了在没有安全联系人或激励措施的情况下应如何行动，以及在活跃攻击情况下是否可以进行攻击。

白帽黑客智能合约漏洞发现安全措施协议修复法律合规

cyfrin
发布于 2024-11-25
阅读 ( 151 )

如何成为智能合约审计师 - 路线图

本文提供了一条成为智能合约审计师（安全研究员）的详细路线图，涵盖必要的课程、技能和实践机会，以便有效提升在Web3安全领域的职业生涯。通过学习Solidity编程、参与审计课程以及实践和竞赛，读者可以不断提升自己的能力，最终在安全行业中获得高薪职位。

智能合约审计 Solidity Web3 安全研究员区块链网络安全

cyfrin
发布于 2024-11-24
阅读 ( 121 )

在Web3中避免加密诈骗并保护你的资金安全：第一部分

这篇文章介绍了如何在Web3环境中防止加密诈骗的基本知识，重点讨论了代币所有权、私钥管理以及常见的网络攻击如钓鱼和恶意软件的防范措施。作者详细说明了不同类型的钱包及其安全性，并提供了一系列最佳实践以保护资产安全。

加密诈骗 web3安全私钥管理钓鱼攻击恶意软件资产保护

cyfrin
发布于 2024-11-23
阅读 ( 137 )

区块链重放攻击的最常见类型有哪些？

本文详细探讨了区块链重放攻击及其五种常见类型，包括缺失应用程序随机数、硬分叉、跨链、签名可变性和密码学随机数重用。文章还提供了针对这些攻击的有效防护措施，并引用了示例代码来展示如何实现这些保护机制。

区块链重放攻击应用程序随机数硬分叉跨链签名可变性

cyfrin
发布于 2024-11-01
阅读 ( 161 )

在Web3中避免加密诈骗，确保你的资金安全：第二部分

本文深入探讨了Web3领域的复杂加密诈骗，包括最大可提取价值（MEV）攻击、SIM卡交换及DNS攻击，并提供了实际的安全防护建议。文章从诈骗原理出发，详细解读各种攻击形式，以及针对每种攻击给出了切实可行的防范措施，旨在提升用户的网络安全意识。

加密诈骗 MEV攻击 SIM交换 DNS攻击网络安全操作安全

cyfrin
发布于 2024-10-31
阅读 ( 135 )

十大Web3.0安全最佳实践方式（全篇）超长干货收藏版！

in CertiK 安全知识分享

十大Web3.0安全最佳实践方式

安全重入攻击预言机

CertiK
发布于 2024-10-29
阅读 ( 2010 )
( 106 )

隔离开发环境：降低网络攻击风险

本文探讨了隔离开发环境（如 Docker 容器）如何保护代码和敏感数据免受网络攻击的威胁。通过介绍 Docker 的原理、优势及最佳实践，作者强调使用这一技术可以降低开发过程中遭遇的安全风险，并提供了一系列具体建议以提升安全性。

Docker容器网络攻击隔离开发环境安全最佳实践私钥泄露开发者工具

cyfrin
发布于 2024-10-23
阅读 ( 143 )

Solodit如何帮助研究人员赢得区块链安全比赛

本文介绍了Solodit如何在区块链安全竞赛中成为一种转变性工具，分析了其功能、使用方法和成长过程序。作者分享了自己如何利用Solodit整理数据、建立检查清单并参与竞赛，最终在安全研究领域取得成功。

Solodit 区块链安全安全竞赛安全研究报告分析检查清单

cyfrin
发布于 2024-10-14
阅读 ( 127 )

实时猎杀：轻松的状态变量覆盖

本文作者分享了他在进行漏洞赏金活动中所用到的一个有趣技巧，探讨了Web3安全领域的经验，并详细介绍了如何通过获取状态变量的值和修改其存储来展示合约漏洞。文章详细阐述了获取环境、构建PoC的步骤及其实现方法，最后提供了多种提升PoC效果的技巧。

漏洞赏金 POC 状态变量合约漏洞 web3安全 Foundry

InfectedIsm
发布于 2024-09-24
阅读 ( 129 )

对Corn协议的安全性评估

本文回顾了对Corn协议的安全性评估，其中重点讨论了发现的安全漏洞及所采取的模糊测试最佳实践。Corn是一个Layer 2网络，旨在通过以太坊的低交易成本和比特币的安全性，让用户利用比特币进行DeFi应用。文章总结了团队在模糊测试过程中的经验教训，并指出了在测试中的重要发现。

Corn协议模糊测试安全漏洞以太坊比特币 DeFi

Recon
发布于 2024-09-19
阅读 ( 276 )

从模糊测试 Centrifuge 协议中学到的经验教训第二部分

本文讨论了Recon团队在与Centrifuge协议合作时如何应用安全设计思维和夹紧技术，以减少长时间运行Echidna模糊测试后出现的假阳性。文章详细介绍了如何通过手动审查代码和利用系统理解来优化测试套件，以辨别真正的错误和无效的属性测试。最后，强调了高代码覆盖率与高质量结果之间的关系。

Echidna 模糊测试 Centrifuge 代码覆盖安全设计测试套件

Recon
发布于 2024-08-14
阅读 ( 260 )

Dough Finance攻击事件---合约也有RCE

7.12DoughFinance合约遭受攻击，损失约1.8M。我对这个攻击进行了代码分析和步骤分解，并写了一个基于foundry的poc。

合约攻击安全事件分析合约审计智能合约安全

黑梨888
发布于 2024-07-31
阅读 ( 1709 )
( 65 )

2024年5月15 Sonne finance攻击来龙去脉--精度损失

漏洞概述5月15日Sonnefinance因为合约存在精度损失漏洞，导致被黑客盗取20millionUSD。更有趣的是，一位白帽子因为及时发现了攻击，马上通过100美金，保住了资金池里剩余的6.5million美金资产，减少了损失。这篇文章我想分析下漏洞是怎么发生的

Sonne Finance 安全事件智能合约安全

黑梨888
发布于 2024-07-26
阅读 ( 1685 )
( 56 )

来自模糊测试前线的教训

本文详细探讨了在EigenLayer生态系统中对Renzo协议进行模糊测试的过程和挑战，包括覆盖率的提升、动态部署，以及处理各种外部事件（如用户资金惩罚和LST的折扣与重基机制）。通过定义和实现一系列功能，作者分享了在模糊测试过程中学到的关键经验，对安全性评估具有重要意义。

模糊测试 EigenLayer Renzo协议 LST 安全机制以太坊

Recon
发布于 2024-07-26
阅读 ( 223 )

Euler Finance 攻击事件分析

in Security Incidents Analysis

💡 EulerFinance攻击事件分析 - Loan Protocol、资不抵债问题、缺乏持仓健康检查

借贷杠杆 DeFi安全智能合约安全安全事件分析

Lori
发布于 2024-06-09
阅读 ( 2123 )
( 81 )

damn-vulnerable-defi Puppet and puppetV2-题解

攻击类型：闪电贷价格操纵（瞬时价格）难度值较低，可以通过这题来对价格操纵有个简单的了解~

闪电贷攻击价格操纵 damn-vulnerable-defi

Lori
发布于 2024-06-04
阅读 ( 1629 )
( 27 )

从设计原理来学习ERC20Snapshot and ERC20Votes

了解将Token作为投票权可能带来的威胁，了解oz的ERC20Snapshot and ERC20Votes背后的原理，以及作为开发者需要注意什么问题。

ERC20Snapshot ERC20Votes DAO治理

Lori
发布于 2024-06-04
阅读 ( 1928 )
( 35 )

签名延展性攻击

本文根据Owen21小时合约审计课程中第二部分合约升级指南部分中关于离线签名的拓展性问题展开讨论。原视频：https://www.youtube.com/watch?v=DRZogmD647U

智能合约安全安全技术研究签名离线签名 ECDSA

Q1ngying
发布于 2024-06-02
阅读 ( 2338 )
( 43 )

介绍Recon：简化的不变性测试

本文由开发者Alex The Entreprenerd撰写，介绍了他在EVM开发中的经历及对抗区块链安全漏洞的努力。文章详细介绍了他的项目Recon，这是一种帮助开发者编写和运行不变性测试的工具，同时描述了两个重大的安全攻击案例，强调了不变性测试在预防未来攻击中的重要性。

不变性测试安全审计区块链漏洞 EVM 扎实的代码 Recon

Recon
发布于 2024-05-22
阅读 ( 231 )

安全审计中WETH的permit问题

目前大部分新发的ERC20Token都带有permit功能,即通过签名完成授权。签名的人不需要上链，省了gas，但是实际上更危险，一不小心签名，可能把所有的Token授权给他人了。错误的协议实现即把WETH当成了IERC20Permit使用，也会造成损失。

WETH permit

SmileBits
发布于 2024-05-16
阅读 ( 1675 )
( 26 )