全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

如何进行智能合约的白帽攻击(合法地攻击)并挽救资金

本文详细讨论了在智能合约中进行白帽黑客攻击的最佳实践,强调了如何合法合规地处理漏洞,避免法律问题,以及如何与相关协议沟通以修复漏洞。文章提出了五个关键步骤,并探讨了在没有安全联系人或激励措施的情况下应如何行动,以及在活跃攻击情况下是否可以进行攻击。
白帽黑客  智能合约  漏洞发现  安全措施  协议修复  法律合规 
  • cyfrin
  • 发布于 2024-11-25
  • 阅读 ( 151 )

如何成为智能合约审计师 - 路线图

本文提供了一条成为智能合约审计师(安全研究员)的详细路线图,涵盖必要的课程、技能和实践机会,以便有效提升在Web3安全领域的职业生涯。通过学习Solidity编程、参与审计课程以及实践和竞赛,读者可以不断提升自己的能力,最终在安全行业中获得高薪职位。
智能合约审计  Solidity  Web3  安全研究员  区块链  网络安全 
  • cyfrin
  • 发布于 2024-11-24
  • 阅读 ( 121 )

在Web3中避免加密诈骗并保护你的资金安全:第一部分

这篇文章介绍了如何在Web3环境中防止加密诈骗的基本知识,重点讨论了代币所有权、私钥管理以及常见的网络攻击如钓鱼和恶意软件的防范措施。作者详细说明了不同类型的钱包及其安全性,并提供了一系列最佳实践以保护资产安全。
加密诈骗  web3安全  私钥管理  钓鱼攻击  恶意软件  资产保护 
  • cyfrin
  • 发布于 2024-11-23
  • 阅读 ( 137 )

安全硬件的五个级别

本文探讨了可编程密码学和安全硬件的重要性,提出实现可编程密码学的五个安全硬件级别,并分析了每个级别的开发体验与安全性。文章强调,虽然当前安全硬件技术使得开发者可以创造出具有良好性能的应用,但要实现更高的安全性,仍需在硬件层进行创新,并展望未来在全球范围内实现高度安全的应用。
可编程密码学  安全硬件  零知识证明  多方计算  异构安全硬件 

Web3.0安全开发实践:Clarity最佳实践总结

in  Web3.0安全开发实践

在过去的一段时间里,CertiK团队对比特币生态系统及其发展进行了深入研究。同时,团队还审计了多个比特币项目以及基于不同编程语言的智能合约,包括OKX的BRC-20钱包和MVCDAO的sCrypt智能合约实现。现在,我们的研究重点转向了Clarity。CertiK团队在圆满完成多个Clarit
最佳实践  clarity 
  • CertiK
  • 发布于 2024-11-22
  • 阅读 ( 895 )
  • ( 24 )

Polter Finance 漏洞:Fork-and-Pray 失败

本文详细分析了Polter Finance的安全漏洞及其导致的1200万美元损失,探讨了该平台的操作机制、缺陷及攻击过程。文章深入剖析了价格预言机系统的不足,以及如何通过闪电贷操纵价格,从而导致平台流动性被抽空。作者总结了漏洞的根源,并给出了改进建议,强调了独立安全审计的重要性。
Polter Finance  闪电贷  价格预言机  安全审计  去中心化金融  区块链安全 

加密货币钱包简介及如何确保其安全

本文详细介绍了加密货币钱包的类型、安全风险及威胁,并提供了保护钱包安全的最佳实践。文章还讨论了MPC与Multi-Sig技术的安全性对比,并强调了钱包设计中需要关注的安全措施。
加密货币钱包  MPC  Multi-Sig  私钥  安全风险  最佳实践 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 

ZTEE - 无信任供应链

这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
远程认证  安全硬件  恶意硬件  物理不可克隆函数  开放硬件  供应链安全 

Solidity DoS Attack

在 Solidity 智能合约开发中,DoS(Denial of Service,拒绝服务)攻击是一个常见且需要关注的安全问题。本文探讨了 Solidity 中的三种主要 DoS 攻击类型及其防御方法
DoS  returnbombAttack 
  • Q1ngying
  • 发布于 2024-11-10
  • 阅读 ( 850 )
  • ( 18 )

安全指南 | Web3.0渗透测试概念与实践详解

in  CertiK 安全知识分享

Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中,我们将探讨Web3.0渗透测试是什么、为什么它很重要,以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。
渗透测试 
  • CertiK
  • 发布于 2024-11-08
  • 阅读 ( 1399 )
  • ( 40 )

智能合约测试:形式验证与符号执行

本文深入探讨了智能合约的形式验证和符号执行测试。通过对这些技术的原理、工具和应用进行详细介绍,强调了它们在Web3安全审核中的重要性,并与其他测试方法进行比较。
形式验证  符号执行  智能合约  web3安全  测试方法  Trail of Bits 
  • cyfrin
  • 发布于 2024-11-07
  • 阅读 ( 368 )

揭秘Scam-as-a-Service:警惕钓鱼攻击的产业化

in  CertiK 安全知识分享

本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。
钓鱼攻击  网络安全 
  • CertiK
  • 发布于 2024-11-05
  • 阅读 ( 1420 )
  • ( 45 )

【安全月报】| 10月区块链安全事件有所上涨,因黑客攻击等损失金额达1.47亿美元

10月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.47亿美元
安全月报  黑客攻击  web3安全 

如何使用 QuickNode 设置来源域名白名单

本文详细介绍了如何在QuickNode上设置请求来源白名单,以提高应用程序的安全性。通过详细的步骤和示例,读者可以了解referrer白名单的定义、设定方法及其重要性,并获得一些额外的资源链接以提升安全性。
Referrer Whitelisting  QuickNode  安全性  DApp  HTTP头  API接口 

最佳智能合约审计与安全课程

本文列出了五个顶尖的智能合约审计和安全课程,旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题,都是业内专家设计,并提供了丰富的学习资源和实用技能。
智能合约审计  Web3  安全课程  在线学习  区块链  漏洞 
  • cyfrin
  • 发布于 2024-11-02
  • 阅读 ( 178 )
  • ( 2 )

事后分析(2024年9月)

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程,包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险,最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。
Maia DAO  漏洞  资金救援  Permit2  Arbitrum  LayerZero 
  • maiaDAO
  • 发布于 2024-11-02
  • 阅读 ( 271 )

区块链重放攻击的最常见类型有哪些?

本文详细探讨了区块链重放攻击及其五种常见类型,包括缺失应用程序随机数、硬分叉、跨链、签名可变性和密码学随机数重用。文章还提供了针对这些攻击的有效防护措施,并引用了示例代码来展示如何实现这些保护机制。
区块链  重放攻击  应用程序随机数  硬分叉  跨链  签名可变性 
  • cyfrin
  • 发布于 2024-11-01
  • 阅读 ( 161 )

如何使用硬件钱包进行(不)盲签Safe多重签名交易

这篇文章讨论了辐射漏洞,其中超过5300万美元被盗,原因是受影响的多签名签名者盲目地签署了一个转移合同所有权的关键元交易
Radiant exploit  EIP-712  Security  多签  硬件钱包  元交易 
  • Bazzani
  • 发布于 2024-10-31
  • 阅读 ( 492 )

在Web3中避免加密诈骗,确保你的资金安全:第二部分

本文深入探讨了Web3领域的复杂加密诈骗,包括最大可提取价值(MEV)攻击、SIM卡交换及DNS攻击,并提供了实际的安全防护建议。文章从诈骗原理出发,详细解读各种攻击形式,以及针对每种攻击给出了切实可行的防范措施,旨在提升用户的网络安全意识。
加密诈骗  MEV攻击  SIM交换  DNS攻击  网络安全  操作安全 
  • cyfrin
  • 发布于 2024-10-31
  • 阅读 ( 135 )