Trail of Bits 的文章

TA的文章 TA购买的 TA喜欢的 TA收藏的

本文介绍了TRAIL，一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响，通过识别架构层面的风险并提供短期和长期缓解方案，使客户能够随着系统变化自主更新威胁模型，同时还阐述了TRAIL的工作原理，以及轻量级和综合性威胁模型的产出。

威胁建模风险分析 TRAIL 安全控制威胁场景安全审查

发布于 2025-03-01 14:50 阅读(498) 点赞(0)

威胁建模如何能够避免 Bybit 15亿美元的黑客攻击

Bybit交易所遭受了15亿美元的重大黑客攻击，这并非由于智能合约或代码错误，而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用，并提出了改进安全控制的具体建议，如端点安全、交易验证流程、钱包配置和操作隔离。

威胁建模操作安全黑客攻击多重签名安全控制区块链安全

发布于 2025-02-26 17:37 阅读(421) 点赞(0)

15亿美元的Bybit被盗事件：运营安全失败的时代已经到来

Bybit交易所遭遇了15亿美元的加密货币盗窃，攻击者通过入侵多个签名者的设备，操纵钱包界面，并在签名者不知情的情况下收集了所需的签名。文章分析了这一事件，并将其与WazirX和Radiant Capital的攻击联系起来，指出攻击者不再利用智能合约漏洞，而是转向攻击交易所的运营安全，强调行业需要加强运营安全，实施隔离、验证和检测等措施，以应对日益复杂的威胁。

加密货币交易所安全多重签名运营安全朝鲜

发布于 2025-02-22 22:43 阅读(493) 点赞(0)

不变性驱动开发的需求

本文介绍了不变性驱动开发（Invariant-Driven Development）在智能合约安全中的重要性。通过在软件开发生命周期的每个阶段嵌入不变性——必须始终保持的关键属性，从而显著提高智能合约的鲁棒性。文章阐述了不变性的定义、类型，以及如何在设计、实现、测试、验证和监控等阶段应用不变性驱动开发，以构建更安全的智能合约。

智能合约不变性安全形式化验证模糊测试 Invariant

发布于 2025-02-13 11:37 阅读(87) 点赞(0)

2025年防止中心化加密货币交易所上的账户盗用

该博客文章重点介绍了新的白皮书《防止中心化加密货币交易所上的账户盗用》中的关键点，该白皮书记录了专门针对 CEX 的 ATO 相关攻击媒介和防御措施。文章讨论了攻击者如何利用 CEX 的安全漏洞盗取用户账户，并介绍了CEX应该采取哪些安全措施来保护用户账户和资金安全，包括加强技术安全机制、流程和文档。

账户盗用中心化加密货币交易所安全控制多因素身份验证网络钓鱼 SIM卡交换

发布于 2025-02-06 11:28 阅读(526) 点赞(0)

密钥派生的最佳实践

本文深入探讨了密钥派生函数（KDFs）在密码学应用中的重要性，并着重指出了KDFs使用中常见的误用情况，同时阐述了密钥派生的最佳实践，详细讨论了诸如HKDF的使用、盐值处理、以及如何组合多个密钥源等问题。此外，文章还介绍了如何安全地组合多个密钥，以应对量子计算带来的潜在威胁，并强调在选择KDF时应根据具体需求选择合适的工具，避免安全漏洞。

密钥派生函数 HKDF 密钥交换密码学安全密钥组合双重PRF

发布于 2025-01-29 10:43 阅读(526) 点赞(0)

哪个 AI 编程助手在 Solidity 语言上表现更出色

评估各个 AI 编程助手在 Solidity 语言上的表现

Solidity AI

发布于 2024-11-24 18:25 阅读(1644) 点赞(0) ( 10 )

证明：PyPI 上新一代的签名

PyPI 引入了新的安全特性，即 Index-Hosted Digital Attestations，通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来，利用密钥签名将分发包的身份（名称和摘要）与其来源（生成它的 GitHub 仓库或其他来源）进行加密绑定。

PyPI 数字签名 Sigstore Trusted Publishing PEP 740 供应链安全

发布于 2024-11-15 10:46 阅读(378) 点赞(0)

“YOLO”不是一种有效的哈希构造

本文批判了几种常见的密码学误用，即所谓的“YOLO”构造，包括 YoloMultiHash、YoloMAC 和 YoloPBKDF。

密码学哈希函数消息认证码密钥派生函数 YOLO构造安全漏洞

发布于 2024-08-22 15:41 阅读(365) 点赞(0)

我们的密码学专家解答 10 个关键问题

本文是针对密码学领域中一些常见但可能令人困惑的技术的专家问答，涵盖了SNARKs中的 commitment schemes、哈希函数的构造、椭圆曲线密码学(ECC)的攻击方式、后量子密码系统、Fiat-Shamir heuristic、PLONK 证明系统的改进、zkEVMs的设计决策、zkEVMs的性能改进、Shamir 密钥共享方案以及 folding schemes的技术细节。

SNARKs commitment schemes 哈希函数椭圆曲线密码学后量子密码学 Fiat-Shamir heuristic PLONK zkEVM Shamir 密钥共享 Folding schemes

发布于 2024-07-26 15:23 阅读(570) 点赞(0)