Fly_鹏程万里

专注于IT技术,只做IT技术的分享与研究,欢迎广大IT技术人员参与分享与讨论!...

排序:
默认
按更新时间
按访问量
RSS订阅

给广大智能合约开发者的一个建议

我们在开发智能合约经常会遇到数值计算类问题,对于这种情况希望大家可以采用OpenZeppline库中的SafeMath函数来进行数值运算操作,而且建议是对通篇使用,不建议只在一些已经发现问题的函数处使用,而其他处不使用,这是非常欠妥的考虑!切记,切记,切记! ...

2019-04-13 13:49:40

阅读数 23

评论数 0

智能合约审计系列————2、权限隐患&条件竞争

更多精彩请移步:https://xz.aliyun.com/t/4416

2019-03-22 11:13:37

阅读数 34

评论数 0

ERC20重要补充之approveAndCall

什么是ERC20 ERC20是以太坊上为token提供的一种协议,也可以理解成一种token的共同标准。遵循ERC20协议的token都可以兼容以太坊钱包,让用户在钱包中可以查看token余额以及操作token转账,而不需要自己再手动与token合约交互。 ERC20规定了以下基本方法: ...

2019-03-15 11:13:41

阅读数 19

评论数 0

Redex去中心化交易ERC223代币假充值隐患

漏洞描述 : 官网:https://radex.ai/ Redex去中心化交易所搭建在以太坊上面,合约地址为:https://etherscan.io/address/0x9462eeb9124c99731cc7617348b3937a8f00b11f#code 缺陷函数为tokenFall...

2019-01-08 11:58:49

阅读数 54

评论数 0

地球OL真实盗币游戏,Web题WriteUp

0x1 原题 挑战1:Web 题名: Crypto Exchange Bug 奖励:2 Ether(≈2900¥) 地址:http://dvpgame.ml/ 0x2 解题思路 1、登陆 随便输入个账号就能登录,这里用asd:asd登录,发现初始有95dollar可用。 2、猜...

2018-12-18 08:56:44

阅读数 159

评论数 0

记SECCON 2018的一道智能合约题目

前言 周末抽时间整理了一下seccon的区块链的题目,当时没空打,现在想想还是挺遗憾的,其实这几道题考点并没有多少新颖的地方,不过做题的手法还是有点意思,所以在这里记录一下 Smart Gacha 这道题有两关,lv1还算简单,很多队伍都做出来了 lv1 题目描述如下 Toggle ...

2018-12-18 08:56:36

阅读数 35

评论数 0

智能合约逆向初探

前言 说起以太坊的智能合约,因为区块链上所有的数据都是公开透明的,所以合约的代码也都是公开的。但是其实它公开的都是经过编译的OPCODE,真正的源代码公开与否就得看发布合约的人了。如果要真正的掌握一个合约会干什么,就得从OPCODE逆向成solidity代码。下面进行练手和实战,实战的是今年PH...

2018-12-17 18:03:28

阅读数 50

评论数 0

ERC20代币合约新型漏洞预警及分析,可导致无限授权转账

长亭科技在以太坊智能合约审计过程中发现了LightCoin Token合约的受委托转账方法中存在新型漏洞。攻击者利用该漏洞可强制使受害者无限授权给任意用户,相当于攻击者能够将受害者账下代币无限转出。长亭科技依据漏洞原理将此漏洞类型命名为“不一致性检查”(check effect inconsist...

2018-12-17 17:58:59

阅读数 66

评论数 0

构造函数缺失漏洞分析

一、前言 构造函数缺失漏洞自智能合约产生以来就一直出现,归根到底是由于新进开发者对 solidity 代码结构不熟悉造成的。BUGX.IO团队本次就来介绍一下漏洞的基本原理、表现形式以及对开发者的建议。 二、漏洞原理 1. 什么是构造函数 Solidity编写合约和面向对象编程语言非常相似...

2018-12-17 09:18:02

阅读数 61

评论数 0

ERC20不一致性检查(新增balnaces不一致检查漏洞)

一、前言 日前,有相关文章报道了部分合约中的transferFrom中存在不一致性检查漏洞(check effect inconsistency)。 BUGX.IO团队对此漏洞类型进行了深入的分析,发现了不仅存在 `allowed[_from][msg.sender]` 这一语句的检查不一致,...

2018-12-17 09:16:51

阅读数 26

评论数 0

智能合约逆向心法2(案例篇)——34C3_CTF题目分析续篇

前言 上周34C3_CTF的文章分析得到了很好的反响,后台收到白帽子的反馈,说想了解整一个完整的分析过程是怎样的。 因此这篇文章,主要关于该题从零到有的思路,顺带解释一些solidity的特性与语法。 题目解读 send 1505 szabo 457282 babbage 649604...

2018-11-23 09:50:45

阅读数 43

评论数 0

智能合约逆向心法1(案例篇)——34C3_CTF题目分析

前言 最近笔者想研究了一下智能合约逆向,顺便入门一下逆向的知识,因此打算边学边写,不足之处请多指正欢迎大家一起交流。本篇我们就从一个题目开始。 题目 题目地址 : https://archive.aachen.ccc.de/34c3ctf.ccc.ac/challenges/index...

2018-11-23 09:35:47

阅读数 54

评论数 0

首个区块链 token 的自动化薅羊毛攻击分析

一、事件介绍 近期,启明星辰ADLab联合电子科技大学的陈厅副教授【1】追踪到了以太坊token中的首个自动化薅羊毛攻击事件。被攻击的合约地址为0x86c8bf8532aa2601151c9dbbf4e4c4804e042571【2】,token名称为Simoleon (SIM),截止目前有接近...

2018-11-21 10:28:24

阅读数 225

评论数 0

两大智能合约签名验证漏洞分析

译者按:智能合约技术目前还处于非常早期的一个阶段,各类项目所使用的合约,很大可能存在着漏洞,此前,我们或多或少会听说过一些整数溢出的合约漏洞,但这并不是智能合约唯一存在的漏洞类型,目前SWC Registry已收录了27类智能合约漏洞,并用SWC-1XX对这些漏洞类型进行编号排序,而在本文当中,来...

2018-11-20 11:01:13

阅读数 43

评论数 0

SIM token 自动化薅羊毛攻击还原

前几天启明星辰积极防御实验室分享了一篇 利用SIM token合约代码逻辑缺陷自动化薅羊毛的攻击事件,攻击者的思路很棒,对以太坊的一些原理理解非常深刻。 同样启明星辰积极防御实验室的julao们的文章也很到位,每一步攻击流程都分析的很透彻,但美中不足的是,没有给出攻击者部署合约的恶意代码,原因是...

2018-09-05 16:51:05

阅读数 167

评论数 0

Parity多重签名函数库自杀漏洞

前言 2017年7月19号发生的 Parity 多重签名合约delegatecall漏洞(Parity Multisig Wallet delegatecall)事件之后,2017年11月6号再次发生了 Parity 多重签名函数库自杀漏洞事件(Parity Multi-Sig Librar...

2018-09-05 15:15:03

阅读数 64

评论数 0

LightCoin合约非一致性检查漏洞分析

0×00 项目简述 LIGHT (光链) 是世界上第一个双层区块链(父链与子链)。其中,LIGHT 父链与传统的公链类似,有且仅有一个,保证记录完整、透明、不可被篡改或销毁。LIGHT子链可以是多个且相互独立存在,基于PoM validation方式,结合In-Memory数据库缓存,有效提高缓...

2018-09-05 15:10:37

阅读数 34

评论数 0

Solidity中的delegatecall杂谈

前言 现在智能合约越来越火,对应的其暴露出来的问题也越来越多,其主流的solidity语言的很多特性感觉也慢慢得到了大家的重视,确实你能感觉到它的很多特性跟其它的语言有较大的区别,尤其是涉及到以太坊部分的存储等方面时,今天就简单聊聊solidity里的delegatecall 基本的使用 ...

2018-07-26 13:07:49

阅读数 547

评论数 0

ERC20 智能合约整数溢出系列漏洞披露

从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描...

2018-07-22 21:01:43

阅读数 353

评论数 0

一些智能合约存在笔误,一个字母可造成代币千万市值蒸发!

在昨日,BCSEC安全团队发现了某已经流通于多个交易所的ERC20代币存在一个高危漏洞,随后便通报给了厂商,没有马上披漏。但是今天BCSEC安全团队发现此漏洞已经被利用,而且厂商已经进行了相应的措施,于是我们决定将此漏洞详情进行披漏。编码笔误问题在开发者进行编码的过程中,出现笔误是非常常见的问题,...

2018-07-15 23:13:02

阅读数 138

评论数 0

提示
确定要删除当前文章?
取消 删除