首页
学习
活动
专区
工具
TVP
发布

深入浅出区块链技术

专栏成员
487
文章
629797
阅读量
113
订阅数
关于审计技术和工具 101事
人们也可以把这些看作是手动/半自动/完全自动,其中半自动和完全自动的区别是需要用户定义属性的工具和除了分流结果外(几乎)不需要用户配置的工具之间的区别。完全自动化的工具往往是直接使用的,而半自动化的工具则需要一些人工协助,因此资源成本较高。
Tiny熊
2023-01-09
9860
Solidity 优化 - 隐藏的 Gas 成本
本文将研究以太坊虚拟机(EVM)的内部工作,以说明如何 "利用 "EVM 的特殊特性,为用户最小化 solidity 智能合约的执行成本。社区发布许多关于 solidity 开发者可以利用的知识来设计和开发更安全、更节省 Gas 的智能合约。
Tiny熊
2023-01-09
7790
Xn00d被攻击事件分析
ERC777 是 ERC20 标准的高级代币标准,要提供了一些新的功能:运营商及钩子。
Tiny熊
2023-01-09
7750
Bsc代币Carrot攻击事件分析
Carrot 是一个ERC20 代币[2],漏洞存在于代币的合约中。合约中存在两个漏洞代码注入和逻辑错误,通过漏洞利用,可以达到转移任意用户的 Carrot 代币。利用过中还涉及一个未开源的 pool 合约。一句话总结漏洞利用过程:利用代码注入漏洞 Carrot 合约通过调用 pool 合约的方法成为 pool 合约的 owner,利用逻辑漏洞绕过转账时的授权检查。
Tiny熊
2022-11-07
6040
关于编写安全的智能合约
经常被问及我的代码审计的流程是什么,很多时候我得到的感觉是,人们认为如果他们有一个足够详细的检查清单,就能使他们的代码安全。然而,安全不是一个检查清单,安全是一个过程,不仅在编写代码时,而且在项目和架构的设计时就得首先考虑,安全应该成为你心态的一部分。安全也不会在你部署代码时停止,随着你了解更多,看到新的机制被利用,你应该回忆你过去写的代码,并思考 这是否改变了我第一次写代码时的任何假设?。如果你开始对这种思考模式感到疲惫,并产生一种令人沮丧的偏执,这种偏执在你看代码时随时都会渗透到你的思想中,那么恭喜你,你已经走上了正确的道路。很多时候,我发现一个代码库的漏洞是通过阅读另一个代码库发现的,它以更完整的方式获取了一个边缘案例,并提醒我原来的代码库并没有这样做!这就是我的意识。正是这种的意识水平将帮助发现漏洞,无论是在你的代码中还是在别人的代码中。
Tiny熊
2022-11-07
4130
太空哥斯拉(SpaceGodzilla)攻击事件分析
SpaceGodzilla 是一个 ERC20 代币,项目没有官方网站,官方只在 twitter 上进行维护,项目介绍是“哥斯拉吸收了地球上所有的核能,向月球飞去!”,然后官方 twitter 头图是张哥斯拉乘着火箭去月球的图片,目前官方有 300 人关注……..
Tiny熊
2022-11-07
6100
[经典攻击事件分析]xSurge事件中的重入漏洞+套利的完美组合利用
xSurge 被攻击事件发生在 2021-08-16 日,距离今天已经近 1 年了,为什么还会选择这个事件进行分析?主要是这个攻击过程很有意思,有以下的几点思考
Tiny熊
2022-11-07
1.1K0
tx.origin安全问题总结
在合约代码中,最常用的是使用 msg.sender 来检查授权,但有时由于有些程序员不熟悉 tx.origin[2] 和 msg.sender 的区别,如果使用了 tx.origin 可能导致合约的安全问题。黑客最典型的攻击场景是利用tx.origin的代码问题常与钓鱼攻击相结合的组合拳的方式进行攻击。
Tiny熊
2022-11-07
7050
真实攻击案例分析系列之Fantasm Finance攻击事件分析
今天我们从技术层面分析 Fantasm Finance 被攻击的全过程。在分析攻击过程之前,对 Fantasm Finance 项目需要有下面的前置背景知识。
Tiny熊
2022-11-07
4740
重入漏洞分析-基于hardhat、solidity0.8环境
重入,顾名思义是指重复进入,也就是“递归”的含义,本质是循环调用缺陷。重入漏洞(或者叫做重入攻击),是产生的根源是由于solidity智能合约的特性,这就导致许多不熟悉 solidity 语言的混迹于安全圈多年的安全人员看到“重入漏洞”这 4 个字时也都会一脸蒙圈,重入漏洞本质是一种循环调用,类似于其他语言中的死循环调用代码缺陷。
Tiny熊
2022-11-07
3770
每周以太坊进展2022/6/11
(编者注:本翻译不代表登链社区的立场,也不代表我们(有能力并且已经)核实所有的事实并把他的观点分离开来。)
Tiny熊
2022-11-07
3000
预防委托调用(DELEGATECALL)引起的合约漏洞
与call不同,用DELEGATECALL进行函数调用时,其代码是在当前调用函数的环境里执行,因此,构建无漏洞自定义库并不像想象的那么简单。有时库代码本身可能是安全无漏洞的;然而当它应用到另一个合约的上下文中却有可能出现漏洞。我们来看一个复杂一点的例子:使用斐波那契数列。
Tiny熊
2022-04-08
8150
预防智能合约的漏洞 - 应对意外转入以太币
通常,当你发送以太币到合约时,合约会执行 fallback 函数或者其他合约中定义的函数。但本文将介绍两个例外情况,以太币可以存入合约中却不运行任何代码。
Tiny熊
2022-04-08
1.2K0
如何防止以太坊智能合约攻击-源码分析
合约通常要处理 ether,经常会转移 ether 到各种外部用户地址。这些操作需要合约提交外部调用。这些外部调用可能被攻击者劫持,从而强制合约执行进一步的代码(通过 fallback 函数),包括调用自己。
Tiny熊
2022-04-08
8120
技术分析 Lendf.me 被攻击,ERC777到底该不该用?
我在去年 9 月写过一篇ERC科普文章:ERC777 功能型代币(通证)最佳实践[1] ,文章里我推荐新开发的代币使用 ERC777 标准。
Tiny熊
2020-04-21
8980
币安交易所比特币被窃漏洞分析
根据币安首席执行官赵长鹏对外披露的信息,该交易所在 5 月 7 日发现了大规模的安全漏洞,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双重身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约 4100 万美元的比特币。
Tiny熊
2019-05-15
1.3K0
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档