OWASP Smart Contract Top 10
隨著區塊鏈和智能合約的興起,OWASP 也發布了 「Smart Contract Top 10」,這份清單針對智能合約特有的安全漏洞進行了總結。這份清單是開發人員、審計師和安全專業人士的重要參考,幫助他們優先處理最關鍵的風險。
Web3 Phishing
Web3 釣魚攻擊是一種針對區塊鏈用戶的詐騙行為,旨在誘騙用戶授權或轉移他們的加密資產(如代幣、NFT)給攻擊者。與傳統網絡釣魚(如假冒銀行網站竊取密碼)類似,Web3 釣魚利用用戶的信任或疏忽,但目標是區塊鏈錢包和智能合約交互。
CTF CoinFlip
這道Blockchain CTF題目涉及一個以太坊智能合約的隨機數漏洞利用,題目要求用戶猜測一個基於區塊哈希的擲硬幣結果(true 或 false)。通過編寫攻擊合約,用戶可以在每個新區塊生成後計算正確的猜測,從而達成 CTF 挑戰的目標。
Proxy Update and Fishing Attack
在智能合約中,Proxy Update指的是透過一種特殊的代理合約(Proxy Contract)模式,來升級和修改已部署的智能合約邏輯。就像任何強大的工具一樣,Proxy 模式也可以被惡意利用。釣魚攻擊者看中的,正是它隱藏真實意圖和動態變更行為的特性。
CTF Fallback
這道 Blockchain CTF 題目涉及一個以太坊智能合約的fallback漏洞利用,目標是通過特定的操作序列獲得這個合約的所有權並把合約的餘額歸零。
Price Oracle Manipulation
在去中心化金融(DeFi)中,預言機(oracles)扮演著 …
SC Improper Access Control
存取控制不當是一種智能合約中的安全漏洞,會導致未經授權的使用 …
SC Denial of Service
拒絕服務攻擊(Denial of Service, DoS) …
Insecure Randomness
隨機數生成在諸如賭博、遊戲贏家選擇或隨機種子生成等應用中至關 …
SC Integer Overflow and Underflow
整數溢位(Overflow)與下溢(Underflow)是智 …