Aucune nouvelle notification
Plus
Sélectionner la langue et la région
Couleur de hausse/de baisse
Heure de début et de fin de l'évolution
- Rubrique
150k publications
91k publications
71k publications
61k publications
58k publications
50k publications
49k publications
47k publications
45k publications
- 10#比特币#
45k publications
- Épingler
- $TRUMP est lancé exclusivement sur Gate.io Pilot!
Le président américain Donald Trump (@realDonaldTrump) a lancé sa memecoin de bureau aujourd'hui. En moins de 2 heures, la capitalisation boursière de $TRUMP a dépassé les 8 milliards de dollars avec un volume de transactions de 1 milliard de dollars !
Ne manquez pas la montée mondiale de $TRUMP, échangez maintenant https://www.Gate.io.io/pilot/solana/official-trump-trump2?X1=
- Comment optimiser le profil de publication de Gate.io pour renforcer l'influence de la communauté ? Gate.io Post 101, un article unique qui vous aide à le maîtriser !
- 🎉 Gate.io Post #NewYearNewLook# L'événement est en direct : Rafraîchir le profil Gate.io Post & Partager un prix de 400 $!
🌟 Sélectionnez les 30 meilleurs participants au profil rafraîchi, gagnez 400 $ Points!
🔍 Comment participer :
1. Postez une capture d'écran de votre profil mis à jour avec le tag #NewYearNewLook#
2. Présentez-vous ou encouragez les autres à vous suivre dans votre publication
3. Les publications doivent comporter au moins 30 mots et ne peuvent pas inclure d'autres balises
Exigences de mise à jour du profil :
🔹 Change your nickname: En rapport avec la crypto ou avec vous
- 📢 #GateOpinionQuest# pour #76# est en ligne! DYOR sur Gate.ioToken (GT), partagez votre opinion sur Gate.io Post, obtenez 100 $ GT!
💰️ Sélectionnez 5 affiches de haute qualité, gagnez facilement 20 $ GT chacune !
👉 Comment participer :
1. Recherchez $GT et partagez votre opinion sur Gate.io Post.
2. Inclure le lien de trading Spot $GT : https://www.Gate.io.io/trade/GT_USDT
3. Promouvoir la communauté de détenteurs de jetons $GT, rejoignez pour gagner d'incroyables cadeaux du Nouvel An 2025: https://www.Gate.io.io/annonces/article/42532
4. Promouvoir l'application "GT Hub", un clic pour reve
- 🖥 Les ambassadeurs de Gate.io Post recrutent activement !
✨ Bienvenue à tous les créateurs de contenu de qualité pour postuler et devenir des ambassadeurs de Gate.io !
Cliquez sur le lien pour rejoindre 👉 https://www.Gate.io.io/questionnaire/4937
🎁 Devenez ambassadeur pour débloquer des privilèges exclusifs et profiter d'avantages généreux!
- Tâches des avantages spéciaux
- Merchandise exclusif
- Support du Red Packet
- VIP 5 & Golden Mark
- Ambassadeur honoraire
Détails : https://www.Gate.io.io/article/38592
OpenBountyXTZ parsing du temps de fosses
Le Hash (SHA 1) de cet article est : 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Numéro : Chaîne Source Security No.003
Le 3 juillet 2024, la plateforme de bug bounty OpenBounty a été révélée avoir publié publiquement des rapports de bugs non autorisés sur la chaîne publique, un comportement extrêmement irresponsable et irrespectueux pour chaque infrastructure et chercheur en sécurité concerné. Cet incident a suscité une certaine discussion au sein du public en raison de la valeur totale des bounties de tous les bugs dépassant 110 milliards de dollars. Cela a également permis à la plateforme de bug bounty de devenir plus connue du grand public. L'équipe de sécurité de la source de la chaîne a effectué une analyse de sécurité et a publié certaines informations sur cet incident de fuite, dans l'espoir d'aider les lecteurs à comprendre les détails et à mieux comprendre l'existence de plateformes de bug bounty.
Informations connexes
OpenBounty a divulgué de manière non autorisée des informations sur les rapports de vulnérabilité sur la chaîne SEHNTU (les propositions concernant Ethereum ont été supprimées).
Bug bounty/vulnérabilité de fouille
La plateforme de bug bounty dans le monde off-chain est très similaire à la plateforme de "digging" dans la sécurité traditionnelle du réseau, les deux ayant pour objectif principal d'attirer les chercheurs en sécurité et les white hat hackers à trouver et signaler les vulnérabilités du système grâce à un mécanisme de récompense, afin d'améliorer la sécurité globale.
Leur mode de fonctionnement se déroule selon le processus suivant dans la chronologie :
(1)Lancement du défi du projet : Que ce soit pour un projet blockchain ou une application réseau traditionnelle, des Programmes de primes de bugs seront publiés sur la plateforme.
(2) Rapport de vulnérabilité : Les chercheurs en sécurité et les pirates informatiques analysent le code ou le système du projet, puis soumettent un rapport détaillé lorsqu'ils découvrent des vulnérabilités.
(3) Vérification et correction : L'équipe du projet vérifie les vulnérabilités signalées et les corrige.
(4) Distribution des récompenses : Une fois la réparation terminée, des récompenses correspondantes seront accordées aux découvreurs en fonction de la gravité de la vulnérabilité et de son impact.
La sécurité traditionnelle des réseaux se concentre principalement sur les vulnérabilités des TI classiques telles que les applications Web, les serveurs, les équipements réseau, etc., telles que les XSS [1], les injections SQL [2], les CSRF [3], etc.
La sécurité de la blockchain est de plus en plus suivie par les Smart Contracts, les protocoles de chiffrement du portefeuille, tels que les attaques Sybil [4], les attaques d'interaction cross-chain [5], les appels externes anormaux, etc.
Rapport sur les vulnérabilités critiques
Le rapport de vulnérabilité n°33 publié de manière non conforme par OpenBounty concerne l'audit et les tests de pénétration de CertiK sur la chaîne SHENTU. Il est clair dans la proposition que ces tests de sécurité visent principalement à résoudre les vulnérabilités internes de SHENTU et les problèmes de restriction d'autorisation.
Cependant, après avoir lu le code source de SHENTU, j'ai trouvé un code de remplacement de préfixe, remplaçant le préfixe de CertiK par le préfixe de SHENTU. Bien qu'il soit compréhensible du point de vue du développement et qu'il ne s'agisse que d'un remplacement de domaine pour faciliter les ajustements, cela donne effectivement l'impression que CertiK joue à la fois le rôle de juge et de concurrent.
Dans les 32 autres rapports de vulnérabilité SEHNTU qui n'ont pas encore été supprimés, on peut voir des descriptions de problèmes, des votants, des descriptions de récompenses et même du code de chaque système après la mise à jour des vulnérabilités. Ces informations divulguées sans autorisation peuvent facilement causer une deuxième destruction de ces systèmes, car chaque système a plus ou moins des problèmes hérités de l'histoire ou des habitudes de codage uniques. Pour les Hackers, l'espace d'utilisation de ces informations est en effet très important.
Explication des termes
[ 1 ]XXS: Les attaquants injectent des scripts malveillants dans une page Web pour les exécuter lorsque les utilisateurs consultent cette page. Cela inclut principalement les XSS réfléchis, les XSS stockés et les XSS DOM.
[ 2 ]Injection SQL : une méthode d'attaque consistant à insérer du code SQL malveillant dans des champs d'entrée (tels que des formulaires, des paramètres d'URL), puis à le transmettre à la base de données pour exécution. Ce type d'attaque peut entraîner des fuites, des modifications ou des suppressions de données de la base de données, voire même la prise de contrôle du serveur de base de données.
[ 3 ] CSRF : méthode d’attaque qui utilise la session authentifiée d’un utilisateur pour envoyer des requêtes non autorisées à un site de confiance. Les attaquants incitent les utilisateurs à visiter des pages Web spécialement conçues ou à cliquer sur des liens pour effectuer des actions à leur insu, telles que le transfert d’argent ou la modification d’informations personnelles.
[ 4 ]Sybil 攻击:在分布式网络中,攻击者创建long个伪造身份(Nœud),试图操纵网络中的决策过程。攻击者通过创建大量虚假Nœud来影响ConsensusAlgorithme ,进而控制交易确认或阻止合法交易。
[5] Attaque d'Interaction cross-chain: un attaquant peut contourner les vérifications de sécurité dans le contrat en manipulant les demandes de transaction d'Interaction cross-chain, volant ou altérant les données de transaction d'Interaction cross-chain, comme l'attaque du pont Poly Network Interaction cross-chain.
Conclusion
En général, comme indiqué par OpenZepplin et HackenProof, la gestion des primes pour les vulnérabilités doit être autorisée par le lanceur, ce qui est à la fois une question de droit et d'éthique professionnelle, ainsi qu'une base pour de nombreux développeurs indépendants.
ChainSource Technology is a company focused on blockchain security. Our core work includes blockchain security research, off-chain data analysis, as well as asset and contract vulnerability rescue, and has successfully recovered long stolen digital assets for individuals and institutions. At the same time, we are committed to providing industry organizations with project security analysis reports, off-chain traceability and technical consulting/support services.
Merci à tous pour votre lecture, nous continuerons à nous concentrer et à partager du contenu sur la sécurité de la blockchain.