该文章详细介绍了在封闭源码的Solana程序中,利用IDL Guesser工具进行指令定义和账户信息的自动化恢复过程。该工具通过分析Anchor框架生成的代码模式,成功提取指令、帐户和参数信息,旨在帮助安全研究人员发现潜在漏洞,同时指出现有的开发挑战和未来的改进方向。
2023年11月,研究员Faith在Astar上发现了一种漏洞,攻击者可以利用该漏洞窃取价值约40万美元的代币。该漏洞涉及EVM上的智能合约与ERC-20资产的转账操作。通过对漏洞的检测和示例,文章深入分析了漏洞的原理、影响及修复措施。
本文介绍了如何使用Hardhat工具在以太坊主网分叉中设置和修改存储变量的值,特别是在真实合约中找到各种类型变量的存储位置,并通过实用示例展示如何修改公共变量、映射和数组。通过这篇教程,开发者或白帽黑客可以安全地模拟链上操作,理解合约的存储布局和修改过程。
文章详细介绍了在以太坊类似虚拟机中存在的潜在漏洞,包括通过恶意交易导致区块链关闭的风险、precompile的不正确实现及网络攻击的可能性。作者分析了 Aptos VM 和 Avalanche 的具体例子,探讨了如何检测与此相关的安全漏洞,提供了多种分析工具的链接,内容深度和逻辑性较强。
本文介绍了Solodit如何在区块链安全竞赛中成为一种转变性工具,分析了其功能、使用方法和成长过程序。作者分享了自己如何利用Solodit整理数据、建立检查清单并参与竞赛,最终在安全研究领域取得成功。
这篇文章探讨了人工智能对软件工程行业的影响,分析了AI在编程任务中的优势与局限性,以及对初级开发者职位的威胁。尽管AI可能取代部分工作,但高级工程师将能通过与AI合作提高生产力。未来的职业要求将日益增加,软件工程的入门门槛也会随之提高。
Sec3的高级安全研究员Q7在2023 MetaTrust CTF的CFT-Sui赛道中赢得了第一名,文章深入解析了四个Sui Move挑战,包括其原理、实现与解决方案,适合想要提升智能合约安全技能的读者。
本文延续了Stefan Schiller发现的Node.js文件写入漏洞,并详细阐述了利用该漏洞的过程,尤其是如何构建ROP链以实现代码执行。文章通过具体示例和代码展示了相关技术细节,包括如何找到可利用的gadget,构造有效的payload,以及如何在Node.js应用中成功执行命令。
Sec3dev
zellic
mixbytes
cyfrin
patrickalphac
i0rs_blog