区块链出题记录
e63d86cb69bdc57ccc91e2c8258ff6dc2702ae7a2478a7a55e69deda0d4c1338
暂未开放
黑客是如何审计并且攻击合约的-$Z123
因为是即时写的,所以没考虑到合约漏洞的复杂性和其他问题,导致本文的合约过于简单,所以后续再换其他的漏洞合约,具有参考价值的
所以本篇暂时烂尾,有时间再换
写在前面审计工具在对合约进行审计的过程中,可以使用多种工具来辅助,而不是干看代码。
同我们对比如php,java等语言进行debug不同,solidity的传输都是以字节码来展现的。
不过我们依然有多种办法进行debug。
比如:
Remix:http://remix.ethereum.org/ 但是非常鸡肋,大部分的操作都不能完成,并且显示的是字节码。
我们可以使用一些框架
比如个人喜欢foundry可以结合很多种分析工具,比如:slither mythril
在代码审计过程中,我们不用所谓的debug而是test。它有多种含义。
我们可以fork到本地进行测试审计,比如使用foundry/hardhat + Ganache
当然我比较喜欢的是使用https://blocksec.com/fork https://www.buildbear.io/ 不同于打印log更喜欢直接…
一些分析工具:
https ...
从某文学习Foundry高级测试
77667c3274defa7d5bf7ccdb5e654d39f12ee1c53c6c7fc853dd6e93e18873d91caf64b7e8e64f88e25a352dfd5fb89b3680f0a04aa5193657f9f820593b47095b1b8a10e6aea9ba1a54c4bb505f43d5496f8b08675cd9183babffbd4555eefef1c83c9ac4dec9e4fc97e6685175fce753f832044560ecf698c43e35fb56c1c1b43c3cd56646d7a32d7867821391eb3d5226075c1c3fc8129423404cfcea631a7a7fe79510a9514f23ddc188ff80c8cfdd031ec57e4bb89d36bd002b814492a9173432cf9050bf4058fea0ad46cb000b00c139e9f39e371d80017ed920c87646bfc19b061dbab4450ee80940a678cbc6d1118a0965dde1a93 ...
某NFT交易平台测试环境到生产环境云控
cbbaf99436744798a6b631c41891eac79410e2ebbd3821e7793736366b15024b38e2f8b39e8c442ef047ff5377b192e7dcd52d73594cc3b12b68f196a7979374082bc246c0699a61b3e852534d72e552a020f1475545f4e3094a7923fbaf30e5c12f3fc9dac5a2494910c4fe2fb5bf33411b32b6d9fc1618724e86dc97ab69fb3cc24ac1341d363b3a54abd4089f211a754522600789d393d66031f1e03138563a870bd64d0b0ee23c4e46ee43670d2fcd3bc017ca2a320960294bfda7502786d4cae4148823e472c159e9d461b360fa3cef5ffd1579004f50bc5a6de0b22ec69d2ae93293e025f11964e909fbe146a9fcd5f12c9a44494e8 ...
随笔-智能合约
1d799a568a97c5d3e0e29f11713207797b00601a36f8273ac11f36d32aaa58bd1fe7a82e84e3672efa7d1bb807da460ddf95bd63e796fa4e0471509219898977874bd4b0762f9653fafeff65f2ea27305734b6a29b8c206dd89ec389ea3194b19801f6eaf80f0d91988420fab1100b1c78b3bd183cf6c19ea989ba3219c8c0f5c7124ccb41c539d43ddd0e50301a6872c34874947bc4d5a7fdc9040babb053ad1dff5379f63c2eef8db51eb9c80567604c1ee8729eb76c426812213d3b9b87e449d67f55d1691825135afe027f6063e0e21e00d6a1408f84c76251c063e2e74b4da4344f851d038ed40cac822e965c66892554f14e18f1650 ...
对MEVbot的第一次尝试:学习构建第一个套利Bot
77667c3274defa7d5bf7ccdb5e654d39f12ee1c53c6c7fc853dd6e93e18873d9a33ce77602aeda3beae4d8a707cfdaa7ee7fb69dff01f4c9980f007273125f8c2a77fdb71f8bb768c6cfab24ead66965b3b3e56e1834fa7ceff59b70dc9b058685b4a9912544a465e104be211e5cfb829f922194aa830a9db624e9ccbc3cb63449bd77c50318684ce5f4571904557c9376e08b94ea24caff71ba7cf0b1275ed2c40fc4b4a4c8e823745123adb48ee54e78fdd63c194a889ae443d09e4b6f285b362d676dfa3526b45f71ba60193d85daac0c009e93c2d7a0d566937f42a2d9eeef8efab8d7b4acea20e34a96e000dd26d7cb5389538f36fa0 ...
探究Wallet Drainers使用Create2 Bypass钱包安全告警
探究Wallet Drainers使用Create2 Bypass钱包安全告警前言最近链上的TVL很高,Wallet Drainers也越来越活跃了。
自己简单看了下,感觉蛮有趣的,因为最近手中的事情太多了,就简单记录下。
Create和Create2在了解如何bypass钱包的安全告警之前,首先需要了解这一行为的实现,基于Create2
CreateEOA可以创建智能合约,智能合约同样也是可以创建智能合约的
create通常与address结合使用,用于在智能合约中创建新的合约实例。通过使用create,合约可以在其执行期间动态地生成新的合约。
这边我写一个简单的示例:
12345678910111213141516171819202122contract Factory { event NewContract(address indexed createdContract); function createNewContract() external { // 使用 create 创建新的合约 address newCo ...
关于防溯源和链上抗审查最佳实践
关于防溯源和链上抗审查最佳实践
文章可能会一直修改和更新
首要是不留下任何”画像” (常用ID,个人信息五要素,邮箱号,VX,QQ….,当红方攻击和访问时,独立网卡,物理机隔离,QQ或者Vx在设备网卡不登陆或虚拟机隔离…)
!不装逼,不要装逼,不要装逼。(不要把个人使用ID和攻击者画像绑定)(非要装逼自己找个新ID装逼)
红蓝攻防就是检验安全的目的的,所以
不做破坏,不做破坏,不做破坏!
不要非法获利,不要非法获利,不要非法获利!
相关资源连接/无线网卡恩山无线论坛 (right.com.cn)
gl-inet axt1800(性价比不高,可供选择的还有很多,但是注意最好是淘二手的)
gl-xe300
//……
!单独网卡,全局匿名无意义,定期更换虚拟机,外接硬盘。
流量可以走通过openwrt openvpn..
Openwrt
https://t.me/+RV6mxIxZJVDByibQ
匿名/浏览器没有什么匿名的浏览器,建议及时多清空浏览器记录,不直接使用直接绑定身份的账户登录,多准备几个浏览器分开使用。
https://www.t ...
钱包安全:[0day]关于某些使用indexedDB的钱包可能存在私钥泄露问题
钱包安全:[0day]关于某些使用indexedDB的钱包可能存在私钥泄露问题前言:暂时忙完,得到短暂的自由时间,刷推看到,关于钱包安全问题
在这里简单记录下。
使用 indexedDB 来存储加密密钥数据,且如果浏览器存在类型混淆漏洞,可以很任意被进行利用。或者在后利用:当黑客拿下服务器或者个人电脑中马等等的时候,很容易就可以通过无钱包密码拿到私钥
消息来源:@EXVULSEC/ X (twitter.com)
复现:攻击者用的是chrome浏览器,受害者用的是Brave浏览器。
sui wallet:(不仅是SUI,这里只用SUI来举例)
首先钱包地址:
A(攻击者):
sui钱包密码test666666.
A记住词:agent best wife champion speed sniff about mechanic total stock source crucial
A钱包地址:0x2f50f55ebaa30e0e7b366fdd3480b039104ee03cd1dcf6dbc702ada575414e7f
通过IndeexedDBEdit可以编辑
12345 ...