区块链
文章平均质量分 59
安全大哥
接渗透测试,护网,安全咨询,安全培训,安全溯源,应急响应等业务,需要私信我
展开
-
安全从入门到入坑指南
从入门到入坑详细指南。原创 2023-11-14 15:33:41 · 369 阅读 · 0 评论 -
假冒 Skype 应用程序网络钓鱼分析
我们注意到,这个假冒应用程序的签名信息非常简单,几乎是空的,并且所有者和发布者都被标记为“CN”。通过分析网络流量数据包,运行假冒的Skype应用程序后,修改后的okhttp3开始请求访问文件、相册等的权限。通过此分析,并通过关联钓鱼域名、后端接口路径以及日期和时间,我们将此案例与对 2022 年 11 月 8 日发布的假冒币安应用程序的分析联系起来,标题为“李逵还是李鬼?目前,通过向其他账户发送地址的方式测试假冒Skype时,发现不再发生地址替换,并且钓鱼接口的后端已被关闭,不再返回恶意地址。原创 2023-11-13 18:07:14 · 759 阅读 · 0 评论 -
Crypto钓鱼手法总结
类似 Uniswap swapExactTokensForTokens/permit2 等这些强大函数的利用。- eth_sign/personal_sign/eth_signTypedData_* 这种原生签名利用。- Token/NFT 类似 approve/permit 这些函数的利用。- OpenSea/Blur 等协议函数的利用(五花八门)2)跟朋友出来吃饭,被绑架,被迫支付比特币赎金——杀熟;1)约美女出来喝茶,被美女持刀劫币——仙人跳;- 污染钱包的转账历史,坐等用户复制。原创 2023-10-04 21:59:11 · 239 阅读 · 0 评论 -
风靡的Venom Drainer钓鱼团伙疯狂捞取2700w美金
为什么 VenomDrainer 这类钓鱼团伙这么高调,原因很简单:他们的商业模式是推广分成模式,他们只是开发商,提供所谓的 DaaS(Drainer-as-a-service) 服务模式,钓鱼获利部分,他们只拿小头(比如 30%)。他们需要非常注意匿名性且不起内讧,从历史被抓的团伙来看,能全身而退安心享受的少之又少。原创 2023-05-12 11:53:28 · 397 阅读 · 8 评论 -
以太坊钱包私钥爆破产业链和攻击案例
mt19937_64 和 random_device 的随机算法有着本质的区别,mt19937_64 是确定性的,它的随机性依赖于输入的随机数,并不产出新的随机性。如果我们想要穷举以太坊账号,找到 Vitalik 的私钥,那么在知道他的公钥后,最多需要进行 2^256 (2 的 256 次方)次的 Q = kG 计算,对大数字我们天然不敏感,所以我把它换算成工作量,就是目前一台苹果 M1 电脑大概 40M/s 的速率,那么大概需要的年份是 8 后面跟上 62 个零。一万年太久,只争朝夕。原创 2023-05-11 15:04:17 · 3884 阅读 · 15 评论 -
Web3安全学习资源
下面是web安全的学习资源汇总。原创 2023-05-11 15:01:10 · 161 阅读 · 0 评论 -
加密资产安全解决方案
本方案由慢雾安全团队整理,旨在为加密世界的参与者提供全方位的资产安全解决方案。我们将加密资产安全整理划分为了以下五大部分,并针对每一部分做了详细的解读,包括各类风险及相关的解决方案。转载 2023-04-20 14:24:00 · 192 阅读 · 0 评论 -
Web3漏洞赏金平台
1、 BugRap (https://bugrap.io/)2、code4rena (https://code4rena.com/)3、immunefi (https://immunefi.com/)原创 2023-04-11 15:54:04 · 517 阅读 · 0 评论 -
Web3 项目安全实践要求
现今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且在进行 Web3 项目研发的时候重点关注的是项目整体的商业论证以及业务功能的实现,而没有更多的精力完成安全体系的建设,因此在缺失安全体系的情况下很难保证 Web3 项目在整个生命周期的安全性。因此,建立和完善 Web3 项目的安全体系是至关重要的,项目方团队自身具备一定的安全能力才能更好的保障 Web3 项目安全稳定地运行。转载 2023-04-10 19:10:39 · 229 阅读 · 0 评论 -
2022年NFT安全事件分析:哪些典型案列值得我们警惕?
2022年3月17日,黑客通过闪电贷拿到了超过6万的APE Coin空投。原创 2023-03-08 16:19:06 · 619 阅读 · 0 评论 -
区块链钱包安全汇总
黑客以某些加密货币资源的名义,将应用程序添加到Google Play商店,或者通过网络钓鱼的方式,欺骗用户下载该应用程序,该应用程序实则为一个恶意软件,当下载、启动该应用程序后,攻击者即可控制受害者电话或者手机,然后允许攻击者窃取帐户凭据,私钥等更多信息,导致钱包被盗。攻击者利用各种热点,比如nft发售、nft预售、合约升级,项目更换网站、特价nft、中签等为由,发送钓鱼邮件,内含精心模仿的官方网站、预售平台,app下载链接等,用户稍不留意就会掉入攻击陷阱。2、“伪装客服骗取私钥”8、“网络钓鱼窃取私钥”原创 2022-11-17 17:52:11 · 3429 阅读 · 0 评论 -
WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?
1、WEB3 安全系列 || 盗取数字资产的方式,看看你是否中招?本系列文章从web3安全出发,持续跟进web3安全动态,下文是盗取数字资产的方式,看看你是否中招?电报群钓鱼APP案例电报群搜索钱包关键字会有很多号称官方的钱包群组,其中就有诈骗分子伪装的群组,如下图这些看起来为正常钱包官网的消息通知,其实都社工钓鱼链接,选择其中一个进行分析。下图为正版官网下图为钓鱼网站,在不仔细辨别域名的情况下,看起来这个就是正常的官方网址。下载钓鱼网站Apk文件进行分析。下图比较了两个版本的区别,转载 2022-06-10 14:20:36 · 712 阅读 · 1 评论 -
Discord 私信钓鱼手法分析
事件背景5 月 16 日凌晨,当我在寻找家人的时候,从项目官网的邀请链接加入了官方的Discord服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。钓鱼手法分析我访问"机器人"(Captcha.bot)发来的链接后,是有让我进行人机验证的,但是当我验证通过后,发现它要求唤起我的小狐狸(MetaMask)钱包,唤起的钱包界面挺真实的,如下图所示,但是我看到了钱包的地址栏显..转载 2022-05-18 14:35:56 · 505 阅读 · 0 评论 -
【慢雾出品】-区块链数字资产保护手册
原文参考:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook慢雾出品 | 余弦:区块链黑暗森林自救手册 (qq.com)一、创建钱包 Download 1.找到正确的官网 a. Google b. 行业知名收录,如 CoinMarketCap c. 多问一些比较信任的人2.下载安装应用a.PC钱包:建议做下是否篡改的校验工作(文件一致性校验) b. 浏览器...转载 2022-04-13 15:36:01 · 398 阅读 · 0 评论 -
【区块链】联盟链安全审计项
1、联盟链安全审计项原创 2021-11-19 14:01:26 · 16114 阅读 · 0 评论 -
【区块链】交易平台安全审计项
1、交易平台安全审计项整理原创 2021-11-17 11:34:51 · 9926 阅读 · 0 评论 -
以太坊常用网站导航
以太坊有很多有用的网站都分布在国外,找起来很费劲,这里总结一下更多文章请看http://blog.csdn.net/sportshark1、以太坊官方网站:https://ethereum.org/该网站为以太坊的官方网站,有详细的以太坊介绍和各种连接地址,推荐详细看一看2、以太坊所有源码地址(官方):https://github.com/ethereum/该github为以太坊所有项目的源码地址,以及更新和发布。3、以太坊Homestead文档地址(官方...转载 2021-05-30 10:52:44 · 2353 阅读 · 1 评论 -
区块链钱包安全检测方案流程
1、设计方案评估:通过对源代码安全问题分析检测,给出安全漏洞分析报告,帮助项目方统计和分析当前阶段软件安全漏洞,掌握软件质量的真实状况2、代码审计:通过分析和定位源代码中存在的安全漏洞,发现漏洞风险,并给出相应安全漏洞的修复建议u,协助项目方对源代码进行修改,并对修改后的源代码做回归测试3、渗透测试:通过模拟黑客攻击对应用系统进步性安全性测试,发现可导致项目方数据泄露,资产受损,数据被篡改等漏洞4、检测和审计报告:出具专业报告,提出相应安全对策并协助项目方进行修复...原创 2020-10-14 17:49:35 · 1254 阅读 · 2 评论 -
【科普】USDT的三种链类型(Omni、ERC20、TRC20)
本文阐述usdt的三种链类型的区别以及安全性文章参考来源:https://www.jianshu.com/p/40a153e27d42?from=singlemessage很多朋友在进行USDT转账的时候都会出现三种链类型,这个时候就很多人不知道具体选择哪一种,也不知道这几种链类型的区别,心里就会产生谨慎,其实这三种链类型都是可以使用的,本文简单地讲述一下这三种链类型的区别,希望对大家有所帮助。 USDT的三种形态分别是: 基于比特币网络的Omni-USDT,充币地址是BTC地.转载 2020-08-31 14:41:59 · 63013 阅读 · 0 评论