全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

安全审计中WETH的permit问题

目前大部分新发的ERC20Token都带有permit功能,即通过签名完成授权。签名的人不需要上链,省了gas,但是实际上更危险,一不小心签名,可能把所有的Token授权给他人了。 错误的协议实现即把WETH当成了IERC20Permit使用,也会造成损失。
WETH  permit 
  • SmileBits
  • 发布于 2024-05-16
  • 阅读 ( 1899 )
  • ( 26 )

NFT攻击向量(三)

在本系列文章中(当前系列第三篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT安全 
  • Spade_sec
  • 发布于 2024-05-14
  • 阅读 ( 1818 )
  • ( 24 )

NFT攻击向量(一)

在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
NFT  NFT安全 
  • Spade_sec
  • 发布于 2024-05-12
  • 阅读 ( 1754 )
  • ( 25 )

漏洞发现:在弯曲的草坪上发现了一条毒蛇

文章讲述了作者在Avalanche和Curve等DeFi项目中寻找漏洞的经历,特别是发现并报告了Curve池中的重入攻击漏洞,最终获得了高额赏金。
重入攻击  Avalanche  Curve  DeFi  ERC1155  漏洞 

从模糊测试Centrifuge Protocol 中学到的教训 第1部分

本文介绍了Centrifuge协议在实施模糊测试套件过程中的经验,讨论了在高覆盖率测试中的策略及方法,包括使用随机化机制来扩展合约的测试配置。文章分为多个部分,包括策略概述、Centrifuge的介绍、关键经验总结与结论,结构清晰且逻辑性强,适合对区块链测试技术感兴趣的读者。
Centrifuge  fuzz testing  coverage  EVM  blockchain  testing strategies 
  • Recon
  • 发布于 2024-05-04
  • 阅读 ( 601 )

漏洞分析:WOOFi黑客攻击

2024年3月5日,WOOFi的合成主动市场制造(sPMM)算法在Arbitrum网络上遭受攻击,损失达到860万美元。攻击者通过一系列闪电贷操控低流动性条件,导致WOO价格异常低下,从而获利。本文详细分析了攻击的背景、步骤及其导致的漏洞。
WOOFi  sPMM  闪电贷款  价格操控  安全漏洞  合约攻击 
  • cyfrin
  • 发布于 2024-03-10
  • 阅读 ( 299 )

深入分析 Euler Finance 漏洞

Euler Finance遭遇了约2亿美元的黑客攻击,原因是其EToken智能合约中的缺陷导致的流动性检查缺失。文章详细分析了攻击的步骤、所用合约和过程,并提供了攻击的概念验证。解读了如何在该协议中出现此类漏洞及其可能的解决方案。
Euler Finance  黑客攻击  智能合约  流动性检查  动态清算  代码审计 
  • cyfrin
  • 发布于 2024-03-08
  • 阅读 ( 334 )

什么是模糊测试(fuzz tests)

本文详尽介绍了智能合约的模糊测试和不变性测试,强调了它们在确保区块链系统安全性方面的重要性。通过使用Foundry框架,文章探讨了如何定义不变性、不同类型的模糊测试以及其相对于传统单元测试的优势,并推荐了几种最佳的模糊测试工具。
模糊测试  智能合约  不变性测试  Foundry  区块链安全  漏洞检测 
  • cyfrin
  • 发布于 2024-02-02
  • 阅读 ( 528 )

我应该使用什么钱包来存储我的加密货币?

在选择钱包时,应该根据资金金额和经验进行权衡。
钱包  区块链安全 

WebAuthn和Passkey:加密货币日常用户的密钥管理

本文深入探讨了WebAuthn和Passkey在Web3密钥管理中的应用,旨在提升加密货币用户的日常使用体验。
WebAuthn  Passkey  密钥管理  智能合约账户  安全 Enclave  MPC-TSS 

图解KaoyaSwap安全攻击过程和写POC全过程

为了看的清晰,本文先利用画图和数据分析整个事件的攻击原理和流程,然后再去写POC。 本文的代码可以在Github是下载:https://github.com/rickwang9/HackerAnalysis
区块链安全  安全事件分析 
  • 老白
  • 发布于 2023-12-02
  • 阅读 ( 3750 )
  • ( 213 )

智能合约安全的新最低测试标准:Fuzz / Invariant Test

in  全面掌握Solidity智能合约开发
学习使用模糊测试(Fuzz Test)及不变性测试( Invariant Test)提高合约安全性。
测试  Foundry  区块链安全  智能合约 

双重流动性之殇 —— KyberSwap 巨额被黑分析

据慢雾安全团队情报,2023 年 11 月 23 日,去中心化交易平台 KyberSwap 遭到攻击,攻击者获利约 5470 万美元。
黑客攻击  漏洞分析  区块链安全 

2023 年 Web3 中最常见的 10 个漏洞

2023 年 Web3 中最常见的 10 个漏洞: 输入验证不正确;计算错误;预言机/价格操纵; 弱访问控制; 重放攻击;舍入误差;重入攻击;抢跑;未初始化的代理;治理攻击。
智能合约安全 

智能合约安全审计入门篇 —— 签名重放

了解一个经典的智能合约漏洞 —— 签名重放。
智能合约安全  安全审计  智能合约 

智能合约安全审计入门篇 —— 抢跑

了解一个非常常见的攻击手法 —— 抢跑。
智能合约安全  安全审计  抢跑  智能合约 

12.slither检测器之四——变量重写检测

in  Slither漏洞扫描框架使用(初级篇)
遍历所有的节点处理变量读写关系的示例
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-07-04
  • 阅读 ( 2816 )

DeFi 合约安全的新模式:关注协议不变性

在 DeFi 合约中,常见模式是`Checks-Effects-Interactions(检查-生效-交互)`模式, 不够好,它会让开发者忘记协议的核心不变性。 作者提出了一个新的模式:FREI-PI: `功能检查-生效-交互+协议不变性`,让我们更多关注协议的不变性(安全性)。
DeFi  智能合约 
  • Tiny熊
  • 发布于 2023-07-04
  • 阅读 ( 4284 )
  • ( 74 )

11.slither检测器之三——批量函数调用检测

in  Slither漏洞扫描框架使用(初级篇)
本文会涉及到slither中几类call的区别,slither遍历node时的常用的递归框架,以及将这两类知识应用到批量函数调用风险的检测中。
Slither  漏洞检测  漏洞分析 
  • 小驹
  • 发布于 2023-07-03
  • 阅读 ( 2915 )
  • ( 5 )

10.slither检测器分析之二——自杀函数检测及shift汇编函数检测

in  Slither漏洞扫描框架使用(初级篇)
1.理解自杀函数检测自杀函数的风险与应用场景。自杀函数可以做为一种隐藏的transfer的手段。 2.shift汇编函数与其它语言的参数不一致,容易混淆。
Slither  漏洞分析  漏洞检测 
  • 小驹
  • 发布于 2023-07-03
  • 阅读 ( 2560 )