Sem novas notificações
Mais
Cor de subida/descida
Hora de Início-Fim da Variação
- Tópico
136k publicações
81k publicações
69k publicações
60k publicações
57k publicações
50k publicações
45k publicações
45k publicações
45k publicações
- 10#MAGA#
45k publicações
- Pino
- ✨ gate Post Novo Ano Giveaway - Mostre a sua Bandeira Crypto 2025 e Ganhe $200 em Recompensas!
💰 Selecione 10 pôsteres de alta qualidade, cada um receberá uma recompensa de $10
Como participar:
1️⃣ Seguir Gate.io_Post
2️⃣ Post com a hashtag #2025CryptoFlag# , partilha a tua bandeira cripto de 2025 e as razões
3️⃣ A publicação deve ter pelo menos 60 palavras e receber pelo menos 3 curtidas
Exemplos de postagens:
🔹 Objetivos de investimento: Quais são seus objetivos criptográficos para 2025?
🔹 Estratégia de Negociação: Que estratégias adotará em 2025?
🔹 Crescimento pessoal: Que novos conhecim
- 🚀 Gate.io Gold Rush: New Year Carnival
⚡️ Ganhe Feijões de Ouro, Desbloqueie uma recompensa de 1 BTC!
🎯 Junte-se agora: https://www.gate.io/activities/click-to-earn
➡️ O novo ano começa e a sorte está ao seu alcance!
Detalhe: https://www.gate.io/announcements/article/42263
- 📢 Desafio de marcação de post da Gate.io: #My Bullish Crypto Sectors# Publique e Compartilhe um Prêmio de $100!
Em que setores de criptomoedas você considera mais promissores - DeFi, AI, Meme ou RWA? O que os torna especiais para você?
💰️ Selecione 10 pôsteres de alta qualidade, ganhe facilmente uma recompensa de $10 cada!
💡 Como Participar:
1️⃣ Siga gate_Post
2️⃣ Abrir o aplicativo Gate.io, clique em "Moments" na parte inferior para entrar na página "Post-Square".
3️⃣ Clique no botão Postar no canto inferior direito, use a hashtag #My Bullish Crypto Sectors# e publique suas ideias.
✍️ Exem
- 🎆 Novo Ano, Nova Sorte! Junte-se à Celebração do Sorteio Final da Sorte!
🎉 O sorteio de Ano Novo da Comunidade Gate.io Community Honor Credits - Fase 6 está oficialmente em vigor!
Inicie o sorteio agora 👉 https://www.gate.io/activities/creditprize?now_period=6
🌟 Como participar?
1️⃣ Vá para o [Centro de Créditos] em gate Post e complete tarefas como publicar, comentar e curtir para ganhar Créditos de Honra.
2️⃣ Limiar de entrada mais baixo: Ganhe 300 créditos para obter uma entrada no sorteio!
🎁 Participe no sorteio de um MacBook Air, merchandise exclusiva, Pontos, voucher de futuros e mu
- 🎄 Junte-se a #ChristmasWonderland# e comece uma aventura de Natal mágica
🎁 Coletar Presentes de Natal e Compartilhar $50.000
✨ Junte-se agora e ganhe 3 chances de jogo grátis: https://www.gate.io/activities/christmas2024
❄️ Ganhe mais chances ao completar tarefas
Aceite o convite do Papai Noel para explorar agora: https://www.gate.io/announcements/article/41692
#Christmas2024#
Análise de tempo de abertura da OpenBountyXTZ
Hash (SHA 1) deste artigo: 4f5b9f376aa53c6cccca03a2ddd065a59550d73c
Security No.003
Em 3 de julho de 2024, a plataforma de recompensa por vulnerabilidades OpenBounty foi revelada como tendo publicado relatórios de vulnerabilidades não autorizados em uma blockchain pública. Esse comportamento é extremamente irresponsável e desrespeitoso para cada infraestrutura e pesquisador de segurança na lista. Além disso, devido ao valor total de recompensa dos erros ter excedido US$ 11 bilhões, isso também gerou discussões entre o público em geral, tornando a plataforma de recompensa por vulnerabilidades mais conhecida. A equipe de segurança da Chain Source analisou a segurança do evento de vazamento e divulgou alguns detalhes para ajudar os leitores a entender os detalhes e conhecer mais sobre a existência da plataforma de recompensa por vulnerabilidades.
Informações Relacionadas
OpenBounty revelou informações de relatórios de vulnerabilidades no blockchain SEHNTU (a proposta relacionada ao Ethereum foi removida).
recompensa pelos erros/挖洞
A plataforma de recompensas de falhas na cadeia é muito semelhante à plataforma de "cavar buracos" na segurança tradicional da Internet. Ambos têm como objetivo principal atrair pesquisadores de segurança e hackers de chapéu branco para encontrar e relatar falhas no sistema, a fim de melhorar a segurança geral através de um mecanismo de recompensas.
O modo como operam segue o seguinte processo em termos de linha temporal:
(1)Desafio de lançamento do projeto: tanto os projetos de blockchain quanto os aplicativos de rede tradicionais publicarão recompensas por erros na plataforma.
(2) Relatório de Vulnerabilidade: Pesquisadores de segurança e hackers testam o código ou sistema do projeto e, após encontrar vulnerabilidades, enviam um relatório detalhado.
(3)Verificação e correção: A equipe do projeto verifica e corrige as falhas no relatório de verificação.
(4) Distribuição de recompensas: Após a conclusão da correção, o descobridor será recompensado de acordo com a gravidade e o impacto da vulnerabilidade encontrada.
A segurança tradicional da rede é principalmente seguir as vulnerabilidades da TI tradicional, como aplicações da Web, servidores, dispositivos de rede, etc., como XXS[ 1 ], injeção SQL[ 2 ], CSRF[ 3 ], etc.
区块链安全更seguircontratos inteligentes、protocolo、encriptaçãoCarteira,如 Sybil 攻击[ 4 ]、Interação entre cadeias攻击[ 5 ]、异常外部调用等。
Relatório de Vulnerabilidades Importantes
No relatório de vulnerabilidades n.º 33 publicado de forma irregular no OpenBounty, a CertiK realizou uma auditoria e teste de penetração na cadeia SHENTU. A partir da proposta, pode-se ver que o principal objetivo do teste de segurança desta vez é resolver as vulnerabilidades internas e os problemas de restrição de autorização do SHENTU.
No entanto, após ler o código fonte da SHENTU, descobri um trecho de código que substitui o prefixo, substituindo o prefixo do CertiK pelo prefixo da SHENTU. Embora seja compreensível em termos de desenvolvimento, apenas para facilitar os ajustes de substituição de domínio, realmente dá a sensação de que o CertiK está agindo tanto como árbitro quanto como atleta.
Em outros 32 relatórios de vulnerabilidades SEHNTU que ainda não foram removidos, é possível ver descrições de problemas, votantes, descrições de recompensas e até mesmo códigos de sistemas após a atualização de vulnerabilidades. Essas informações divulgadas sem autorização podem facilmente causar danos secundários a esses sistemas, pois cada sistema durante o processo de desenvolvimento pode ter alguns problemas legados ou hábitos de codificação exclusivos, o que realmente oferece grande espaço de utilização para os Hackers.
Interpretação de termos
[ 1 ]XXS: Os atacantes injetam scripts maliciosos nas páginas da web para que eles sejam executados quando os usuários visitam essas páginas, incluindo principalmente XSS refletido, XSS armazenado e XSS baseado em DOM.
[ 2 ]Injeção SQL: um método de ataque que envolve a inserção de códigos SQL maliciosos em campos de entrada (como formulários, parâmetros de URL) e, em seguida, passá-los para o banco de dados para execução. Esse tipo de ataque pode resultar em vazamento, modificação ou exclusão de dados do banco de dados e até mesmo obter o controle do servidor de banco de dados.
[ 3 ] CSRF: A method of attacking by sending unauthorized requests to a trusted site using a user's authenticated session. Attackers trick users into visiting a specially crafted webpage or clicking on a link, allowing them to perform actions such as transferring funds or modifying personal information without the user's knowledge.
[ 4 ] Ataque Sybil: Em uma rede distribuída, um atacante cria longo identidades falsas (Nó) na tentativa de manipular o processo de decisão da rede. O atacante influencia o Algoritmo de Consenso criando uma grande quantidade de Nó falsos para controlar a confirmação de transações ou impedir transações legítimas.
[ 5 ]Ataque de pontes de cadeia cruzada: Um atacante pode contornar as verificações de segurança do contrato, manipulando solicitações de transação de pontes de cadeia cruzada, roubando ou alterando dados de transação de pontes de cadeia cruzada, como o ataque à ponte de cadeia cruzada da Rede Poly.
Conclusão
Em geral, como indicado pela OpenZepplin e HackenProof, a gestão da recompensa pelos erros deve ser autorizada pelo editor, o que é uma questão de legalidade e ética profissional, e também é a base do sucesso de muitos desenvolvedores independentes.
A ChainOrigin Technology é uma empresa especializada em segurança blockchain. Nosso trabalho principal inclui pesquisa de segurança blockchain, análise de dados na cadeia, bem como recuperação de ativos digitais e contratos com vulnerabilidades, tendo recuperado com sucesso ativos longos roubados de indivíduos e instituições. Além disso, estamos empenhados em fornecer relatórios de análise de segurança de projetos, rastreamento na cadeia e serviços de consultoria técnica/suporte para instituições do setor.
Obrigado a todos pela leitura, vamos continuar a concentrar-nos e a partilhar conteúdo sobre segurança blockchain.