Thomas_Xu's Blog

A junior studying blockchain security. Here are some learning records.

Dao投票相关漏洞以及解决方案

Dao投票相关漏洞以及解决方案 author:Thomas_Xu 引言去中心化自治组织(DAO)在区块链中运作,由投票管理。 Coin voting是最受欢迎的一种:DAO 的成员提出建议,其他token持有者用代币表示认可。当达到提案的法定人数时,可以执行其脚本。 有许多DAO使用Coin voting:基于Aragon的DAO,X-DAO,Nexus Mututal,Showball F......

Posted by Thomas_Xu on 2023-01-05

杂谈

由BT钱包引发的多签钱包思考

由BT钱包引发的多签钱包思考 author:Thomas_Xu 引言12月26日,Bitkeep钱包发生漏洞,造成约900w美元的损失。这也引起了我对钱包安全的关注,。此次Bitkeep钱包事件疑似因为部分APK包下载被黑客劫持,安装了黑客植入代码的包,用户下载或者更新的应用或许是被劫持的不明版本(非官方发布版本)。最终可能导致了下载黑客版本的APK用户私钥泄露。截至笔者发文,具体原因还未查......

Posted by Thomas_Xu on 2022-12-30

钱包

深入可升级合约

深入可升级合约 author:Thomas_Xu 引言Solidity合约部署在链上之后,代码是不可变的(immutable)。这样既有优点,也有缺点: 优点:安全,用户知道会发生什么(大部分时候)。 坏处:就算合约中存在bug,也不能修改或升级,只能部署新合约。但是新合约的地址与旧的不一样,且合约的数据也需要花费大量gas进行迁移。 有没有办法在合约部署后进行修改或升级呢?答案是有的,......

Posted by Thomas_Xu on 2022-12-27

杂谈

抢跑机器人实现

author:Thomas_Xu 抢跑机器人实现在阅读本文前,请确保你了解区块链抢跑交易的原理和链上监听相关知识。 Front-Running - Thomas_Xu (thomasxu-blockchain.github.io) 合约事件的监听 - Thomas_Xu (thomasxu-blockchain.github.io) 源码: ThomasXu-blockchain/Fron......

Posted by Thomas_Xu on 2022-12-23

杂谈

符号执行以及Mythril工具

author:Thomas_Xu 符号执行以及Mythril工具引言符号执行是一种程序静态分析的技术,被认为非常有前途。近年利用符号执行进行分析的论文在安全的顶会中出现也较为频繁,还是非常值得去学习的。 那么今天先从静态分析说起: 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证......

Posted by Thomas_Xu on 2022-12-21

static-analysis

slither工具

author:Thomas_Xu slither工具使用记录最近对静态分析很感兴趣,先从工具入手,今天先试一试Slither—一款静态智能合约分析工具。 概述slither使用python3编写的智能合约静态分析框架,整体环境比较好,提供如下功能: 自动化漏洞检测。提供超60多项的漏洞检查模型,模型列表详见:https://github.com/crytic/slither#detect......

Posted by Thomas_Xu on 2022-12-18

static-analysis

逆向分析初探

author:Thomas_Xu 逆向分析区块链上所有的数据都是公开透明的,所以合约的代码也都是公开的。但是其实它公开的都是经过编译的OPCODE,真正的源代码公开与否就得看发布合约的人了。 如果要真正的掌握一个合约会干什么,就得从OPCODE逆向成solidity代码。 工欲善其事,必先利其器solidity智能合约逆向工具推荐:https://ethervm.io/decompile ......

Posted by Thomas_Xu on 2022-12-17

逆向分析

交易重放

author:Thomas_Xu 重放攻击及解决方案传统重放攻击:攻击者将拦截到的数据再次原封不动发送给接收方的情况。只要攻击者知晓自己所拦截信息的用途,哪怕信息经过加密,其仍然可以发起重放攻击达到恶意目的,例如窃取存款、窃取账号等 区块链重放攻击在区块链中的重放攻击和传统安全行业里的重放攻击,不是一回事。它一般指的是主链分叉时候出现的一种特殊情况。 分叉是区块链中常见的状况,不论是网络升......

Posted by Thomas_Xu on 2022-12-11

基础漏洞

攻击事件追踪10月————持续更新

攻击事件追踪——持续更新 author:Thomas_Xu Mango Markets此次攻击发生在2022年10月12日。一个名为Mango Markets的Solana龙头衍生品交易协议被一个资金雄厚的市场操纵者攻击,造成了超过上亿美元的损失。 据mango官方推特所说: 黑客成功地通过引入巨额的USDC创建了两个MNGO-PERP的巨大头寸,暴拉了Mango的原生代币MNGO的价格,......

Posted by Thomas_Xu on 2022-12-09

攻击事件追踪

Compound系列(3)

author:Thomas_Xu Compound系列(3) More杠杆交易目前,借贷市场的强需求之一就是为了杠杆交易。但是,将 A 资产抵押到 Compound 再借出 B 资产,之后再到 DEX 平台(如 Uniswap)用 B 资产兑换成 A 资产,又重复投入 Compound,如此反复操作,对用户来说,是非常繁琐的,而且中间多次操作会消耗较多手续费。因此,直接提供杠杆交易服务的产......

Posted by Thomas_Xu on 2022-12-09

Coumpound
SEARCH
FEATURED TAGS
ethernaut 基础漏洞 Uniswap 杂谈 EIP Damn Defi Paradigm EVM Coumpound static-analysis EKO
ABOUT ME

Welcome to visit, I'm Thomas_Xu!

VISITORS
Viewed Times
Visitors In Total
RECENT POSTS
ARCHIVES
categories