No hay notificaciones nuevas
Más
Color de subida/bajada
Hora de inicio y finalización del cambio
- Tema
136k publicaciones
81k publicaciones
69k publicaciones
60k publicaciones
57k publicaciones
50k publicaciones
45k publicaciones
45k publicaciones
45k publicaciones
- 10#MAGA#
45k publicaciones
- Anclado
- ✨ gate Post Nuevo Sorteo de Año Nuevo: ¡Muestra tu Bandera Cripto 2025 y Gana $200 en Recompensas!
💰 Seleccione 10 pósters de alta calidad, cada uno recibirá una recompensa de $10
Cómo unirse:
1️⃣ Sigue a Gate.io_Post
2️⃣ Publica con el hashtag #2025CryptoFlag# , comparte tu bandera cripto 2025 y razones
3️⃣ La publicación debe tener al menos 60 palabras y recibir al menos 3 Me gusta
Ejemplos de publicaciones:
🔹 Metas de inversión: ¿Cuáles son tus objetivos cripto para 2025?
🔹 Estrategia de trading: ¿Qué estrategias adoptarás en 2025?
🔹 Crecimiento personal: ¿Qué nuevo conocimiento o habili
- 🚀 Gate.io Gold Rush: New Year Carnival
⚡️ Gana Gold Beans, ¡Desbloquea una recompensa de 1 BTC!
🎯 Únete ahora: https://www.gate.io/activities/click-to-earn
➡️ ¡Comienza el nuevo año y la suerte está al alcance!
Detalle: https://www.gate.io/announcements/article/42263
- 📢 Desafío de etiquetas de publicaciones de Gate.io: #My Bullish Crypto Sectors# ¡Publica y comparte un premio de $100!
¿En qué sectores de criptomonedas encuentras más prometedores: DeFi, AI, Meme o RWA? ¿Qué los hace destacar para ti?
💰️ ¡Selecciona 10 carteles de alta calidad, gana fácilmente una recompensa de $10 cada uno!
💡 Cómo participar:
1️⃣ Sigue gate_Post
2️⃣ Abra la aplicación Gate.io, haga clic en "Moments" en la parte inferior para ingresar a la página de "Post-Square".
3️⃣ Haz clic en el botón Publicar en la esquina inferior derecha, utiliza el hashtag #My Bullish Crypto Sector
- 🎆 ¡Año Nuevo, nueva suerte! ¡Únete a la celebración del Sorteo de la suerte definitivo!
🎉 ¡El sorteo de la suerte de Año Nuevo de Community Honor Credits de Gate.io - Fase 6 está oficialmente en vivo!
Inicia el sorteo de la suerte ahora 👉 https://www.gate.io/activities/creditprize?now_period=6
🌟 ¿Cómo participar?
1️⃣ Ve al [Centro de Créditos] en gate Post y completa tareas como publicar, comentar y dar me gusta para ganar Créditos de Honor.
2️⃣ Umbral de entrada más bajo: ¡Gana 300 créditos para obtener una participación en el sorteo de la suerte!
🎁 ¡Participa en el sorteo de un MacBook
- 🎄 Únete a #ChristmasWonderland# y comienza la aventura mágica de Navidad
🎁 Recoge regalos de Navidad y comparte $50,000
✨ Únete ahora y obtén 3 oportunidades de juego gratis: https://www.gate.io/activities/christmas2024
❄️ Gane más oportunidades al completar tareas
Aceptar la invitación de Santa para explorar ahora: https://www.gate.io/announcements/article/41692
#Christmas2024#
OpenBountyXTZ洞时间解析
El Hash (SHA 1) de este artículo es: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Número: Security No.003 de la fuente de la cadena
En 3 de julio de 2024, se reveló que la plataforma de recompensas por vulnerabilidades OpenBounty había publicado informes de vulnerabilidades no autorizadas en la cadena pública. Este comportamiento es extremadamente irresponsable y falta de respeto para cada infraestructura y investigador de seguridad en la lista. Además, dado que el valor total de recompensas por vulnerabilidades superó los 110 mil millones de dólares en esta ocasión, ha generado cierto debate en la comunidad en general, lo que ha llevado a que la plataforma de recompensas por vulnerabilidades se haga más conocida entre el público en general. El equipo de seguridad de la fuente de la cadena realizó un análisis de seguridad y una divulgación parcial del incidente de fuga, con la esperanza de ayudar a los lectores a comprender los detalles y a comprender mejor la existencia de plataformas de recompensas por vulnerabilidades como OpenBounty.
Información relacionada
La información del informe de vulnerabilidad divulgado por OpenBounty en la cadena pública SEHNTU (ahora eliminado las propuestas relacionadas con Ethereum) sin autorización:
recompensa por fallos/挖洞
La plataforma de recompensas por fallos en el mundo on-chain es muy similar a la plataforma de 'hacking' en la seguridad tradicional de la red. Ambos tienen como objetivo principal atraer a investigadores de seguridad y hackers de sombrero blanco mediante un mecanismo de recompensas para buscar y reportar fallos en el sistema, mejorando así la seguridad general.
Su modo de operación sigue el siguiente proceso en términos de línea de tiempo:
(1)项目发起挑战:无论是区块链项目还是传统网络应用,都会在平台上发布漏洞 Programa de recompensas。
(2) Informe de vulnerabilidad: Los investigadores de seguridad y los hackers prueban el código o el sistema del proyecto y presentan un informe detallado después de encontrar una vulnerabilidad.
(3)Verificación y corrección: El equipo del proyecto verifica y corrige las vulnerabilidades en el informe.
(4)Distribución de recompensas: después de la reparación, se otorgará al descubridor una recompensa correspondiente según la gravedad y el alcance del error de seguridad.
La seguridad tradicional de la red se centra principalmente en las vulnerabilidades de las aplicaciones web, servidores, dispositivos de red, etc. de la TI tradicional, como XSS[ 1 ], inyección SQL[ 2 ], CSRF[ 3 ], etc.
La seguridad de la cadena de bloques es más importante para seguir Billetera, como ataques Sybil [ 4 ], ataques de interacción cross-chain [ 5 ], llamadas externas anormales, etc. Contrato inteligente, protocolo, encriptación.
Informe de Vulnerabilidad Importante
En el informe de vulnerabilidad número 33 publicado de forma irregular en OpenBounty, CertiK realizó una auditoría y prueba de penetración de la cadena SHENTU. A partir de la propuesta, se puede ver que el objetivo principal de esta prueba de seguridad es abordar las vulnerabilidades de seguridad internas y los problemas de restricciones de autorización de SHENTU.
Pero después de leer el código fuente de SHENTU, descubrí un fragmento de código que reemplaza el prefijo, reemplazando el prefijo de CertiK por el prefijo de SHENTU. Aunque es comprensible en términos de desarrollo, simplemente para facilitar el ajuste al realizar el reemplazo de dominio, realmente da la sensación de que CertiK está actuando tanto como árbitro como competidor.
En otros 32 informes de vulnerabilidad de SEHNTU que no se han eliminado, se puede ver información no autorizada revelada sobre la descripción del problema, las partes que votaron, la descripción de la recompensa e incluso el código de cada sistema después de la actualización de la vulnerabilidad. Esta información no autorizada revelada puede causar fácilmente daños secundarios a estos sistemas, ya que cada sistema tiene algunos problemas heredados o hábitos de codificación únicos durante el desarrollo. Para un Hacker, el espacio de explotación de esta información es realmente grande.
解读 de términos
[ 1 ]XXS: Los atacantes inyectan scripts maliciosos en páginas web para que se ejecuten cuando los usuarios las visitan, incluyendo XSS reflejado, XSS almacenado y XSS basado en DOM.
[2] Inyección SQL: un método de ataque que consiste en insertar código SQL malicioso en campos de entrada (como formularios, parámetros URL), y luego pasarlos a la base de datos para su ejecución. Este tipo de ataque puede resultar en la divulgación, modificación o eliminación de datos de la base de datos e incluso obtener el control del servidor de la base de datos.
[ 3 ]CSRF: El uso de la sesión autenticada del usuario para enviar solicitudes no autorizadas a un sitio de confianza. Los atacantes inducen a los usuarios a visitar páginas web personalizadas o hacer clic en enlaces, lo que les permite realizar operaciones sin el conocimiento del usuario, como transferencias de fondos o cambios en la información personal.
[ 4 ]Ataque de Sybil: En una red distribuida, un atacante crea largo número de identidades falsas (Nodo) en un intento de manipular el proceso de toma de decisiones en la red. El atacante intenta influir en el Algoritmo de Consenso creando una gran cantidad de Nodos falsos para controlar la confirmación de transacciones o impedir transacciones legítimas.
[ 5 ]Ataque de interacción cross-chain: los atacantes pueden manipular las solicitudes de transacciones de interacción cross-chain, evitando los controles de seguridad en los contratos, y robar o modificar los datos de transacciones de interacción cross-chain, como el ataque al puente de interacción cross-chain de Poly Network.
Conclusión
En general, como lo indican OpenZepplin y HackenProof, la gestión de la recompensa por fallos debe contar con el permiso del editor, lo que plantea un problema de legalidad y ética profesional, y también es la base de logros para muchos desarrolladores independientes.
Chain Source Technology es una empresa especializada en seguridad blockchain. Nuestro trabajo principal incluye investigación de seguridad blockchain, análisis de datos en cadena, y rescate de activos y contratos vulnerables, habiendo logrado recuperar con éxito activos digitales robados de largo para individuos e instituciones. Al mismo tiempo, nos comprometemos a proporcionar informes de análisis de seguridad del proyecto, rastreo en cadena y servicios de consulta técnica.
Gracias por leer, seguiremos enfocándonos y compartiendo contenido sobre seguridad en blockchain.