本文深入探讨了 Merkle 树中的第二原像攻击,解释了其原理以及如何利用中间节点来伪造叶子节点的证明。文章还详细介绍了四种有效的防御策略,包括使用不同的哈希函数、对叶子节点进行双重哈希、添加前缀以及限制叶子节点的长度,并分析了这些方法在实际应用中的适用性。
本文是作者在ethernaut闯关时记录的解题思路,涵盖合约分析和攻击步骤,操作基本都是在浏览器控制台和Remix完成。如有错误之处,还望读者及时指出。
老道的学习日志。可升级合约的一个简单实践
本文是智能合约审计系列文章的第二部分,主要讨论了如何发现智能合约中的漏洞。文章首先定义了智能合约中的bug类型,然后详细介绍了在理解代码的过程中以及如何通过测试假设来发现潜在的漏洞,并强调了采用攻击者思维模式的重要性,通过不断提问和探索各种可能性来进一步挖掘潜在的漏洞。文章还提到审计是一个不断学习和改进的过程,即使失败也能提供宝贵的经验。
本文深入探讨了Uniswap v3中恒定乘积公式的推导及其与实际储备金的关系。文章解释了如何在特定价格区间内,利用流动性(L)、上下限价格(pl, pu)以及实际储备金(xr, yr)来表示恒定乘积公式,并讨论了该公式在不同价格场景下的应用,以及如何从该公式推导出实际储备金。
本文介绍了 Vault 的概念,以及 Tokenised Vaults 的概念。
本文讨论了传统冷存储方案在以太坊上面临的风险,并提出了一种更安全的替代方案:利用智能合约的可编程性来构建自保护的冷存储钱包。这种方法通过实施角色分离、时间锁和速率限制等多层安全控制,即使在多重签名密钥泄露的情况下,也能最大程度地减少资金损失。
该列表整理了优秀的智能合约项目,包括Aave、Compound、Curve等DeFi协议,以及Art Gobblers等NFT项目,Synthetix等衍生品项目。每个项目都提供了代码仓库和文档链接,方便开发者学习和使用。还包括了snekmate、Solady、Solmate等智能合约库。
本文档是ERC4626 Vault安全启动的第12.0版本,内容涵盖了ERC4626 Vault实现中发现的关键安全模式和漏洞,包括各种类型的Vault、跨链系统、AMM集成、CDP实现、清算机制、以及预言机和价格馈送问题等。文档详细列出了非标准代币支持问题、重入攻击、首次存款攻击、份额和价格操纵、通胀/紧缩攻击等一系列安全漏洞模式,并提供了相应的安全实施示例、检测方法和缓解措施。
前言未确认交易驻留内存池(Mempool)期间,释放链上意图:DEX订单、清算触发、NFT铸造。套利机器人(Searchers)通过实时监听、Gas竞价及私有中继(Flashbots)实施原子套利(AtomicArbitrage),在区块打包前完成价值捕获。本文系统阐述:Mempo