LoRexxar's BlogLoRexxar's Blog热爱电子竞技的Web弱渣/Vidar-team/知道创宇404Teamblockwell.ai 虚假转账 事件分析一、背景2018年9月7日早上1点左右，许多以太坊账户都收到了一种名为blockwell.ai KYC Casper Token转账消息，其中有的是收到了这种代币，而有的用户是支出了这种代币。得到的用户以为受到了新币种的空投，满心欢喜的打开之后发现并没有获得任何代币。转出的用户着急打开钱包，以为是钱包被盗转走了代币，实际上却毫无损失。在回过神来看看代币的名字，忍不打开blockwell.ai查看原因，一次成功的广告诞生了。二、事件回顾回到导致事件发生的blockwell.ai合约中，合约地址为1https://etherscan.io/address/0x212d95fccd...2018/09/14“以太坊智能合约编码安全问题”影响分析报告这篇扫描报告其实算是一片比较特殊的文章，因为这是checklist唯一被我直接标记为安全问题的一类，其中很多问题虽然特征明显，但修复逻辑却千变万化，所以统计数据一直波动很大，犹豫了很久才发出来，图片的很多涉及到的合约并不一定真的存在问题，但仍然值得注意。一、简介在知道创宇404区块链安全研究团队整理输出的《知道创宇以太坊合约审计CheckList》中，把“溢出问题”、“重入漏洞”、“权限控制错误”、“重放攻击”等问题统一归类为“以太坊智能合约编码安全问题”。“昊天塔(HaoTian)”是知道创宇404区块链安全研究团队独立开发的用于监控、扫描、分析、审计区块链智能合约安全自动化平台...2018/09/06智能合约游戏之殇-类Fomo3D攻击分析当你还在寻求棋局中的出路时，却发现棋盘已经不存在了。2018年8月22日，以太坊上异常火爆的Fomo3D游戏第一轮正式结束，钱包开始为0xa169的用户最终拿走了这笔约10,469 eth的奖金，换算成人民币约2200万。看上去只是一个好运的人买到了那张最大奖的“彩票”，可事实却是，攻击者凭借着对智能合约原理的熟悉，进行了一场精致的“攻击”！这次攻击的结果，也直接影响了类Fomo3D的所有游戏，而且无法修复，无法避免，那么为什么会这样呢？类Fomo3D在分析整个事件之前，我们需要对类Fomo3D游戏的规则有一个基本的认识。Fomo3D游戏最最核心的规则就是最后一个购买的玩家获...2018/08/24“以太坊智能合约设计缺陷问题”影响分析报告在审计各种智能合约之后，我发现了一类很有趣的问题，这类问题出现的原因不只是由于开发者的疏忽，也同样是因为智能合约本身的一些设计缺陷，在开发者不了解这些问题的基础上，就容易出现问题。智能合约checklist系列文章:“以太坊智能合约规范问题”影响分析报告一、 简介在知道创宇404区块链安全研究团队整理输出的《知道创宇以太坊合约审计CheckList》中，把“条件竞争问题”、“循环dos问题”等问题统一归类为“以太坊智能合约设计缺陷问题”。“昊天塔(HaoTian)”是知道创宇404区块链安全研究团队独立开发的用于监控、扫描、分析、审计区块链智能合约安全自动化平台。我们利用该平台...2018/08/22“以太坊智能合约规范问题”影响分析报告最近工作的重点在智能合约上，不仅是整理checklist，还有一个智能合约的自动化审计平台，阅读了比较多的合约代码，我发现，一些开发者在开发过程中的问题，可以算是很典型的一类问题，其实很多不能算是有很大的危害，但确实不得忽视的一个大问题。一、 简介在知道创宇404区块链安全研究团队整理输出的《知道创宇以太坊合约审计CheckList》中，把“未触发Transfer事件问题”、“未触发Approval事件问题”、“假充值漏洞”、“构造函数书写错误”等问题统一归类为“以太坊智能合约规范问题”。“昊天塔(HaoTian)”是知道创宇404区块链安全研究团队独立开发的用于监控、扫描、分析、...2018/08/14wctf2018 cyber mimic defence Writeup今年有幸作为新人赛中的一员参加了Wctf2018大师赛，比较难过的是，由于Wctf本身使用战争与分享赛制，却要求了每队必须出一道windows题目，大部分人都选择了内核驱动级别的re和pwn，只有LCBC出的“拟态防御”和智能合约审计可以一做，关于智能合约的部分有机会会再分享，这里只研究一下mimic这题。cyber mimic defence代码挺简单的，flask完成，主要的功能几乎只有登陆注册，功能核心基本都在user类中，而调用到user类的view只有登陆部分，所以漏洞也就是在这里。123456789101112131415161718192021222324252627...2018/07/130CTF/TCTF2018 Final Web Writeup最棒的CTF就是那个能带给你东西和快乐的CTF了，共勉show me she shell这是一道tomato师傅出的不完整的java题，java…，java…我恨java┑(￣Д ￣)┍这是一个题目一是列目录+任意文件读取，二是垂直越权+CLRF配SSRF打redis+反序列化命令执行题目的难度在于代码本身的不完整和java，没办法实际测试，所以只能强行阅读源码，幸运的是代码结构是spring完成的，和python的flask/django结构很强，这为我们阅读源码提供了可能。1整个代码中，控制器只有5个，其中12345index 首页login 登陆、注册manager 管...2018/05/31RCTF2018 Web WriteupRCTF刚好赶上了完成毕设的时间，没办法只接触了部分题目，可惜的是，其中很多题目都不是特别有意思，这里只整理部分我参与的..r-cursive12345LUL dat fonthttp://r-cursive.mlhint: If you get stuck after arbitary code execution, try to escape the sandbox. phpinfo may help you figure out how the sandbox works.蛮神奇的一题，题目代码是这样的12345678910111213141516 <?php$tok...2018/05/23基于Service Worker 的XSS攻击面拓展在前段时间参加的CTF中，有一个词语又被提出来，Service Worker，这是一种随新时代发展应运而生的用来做离线缓存的技术，最早在2015年被提出来用作攻击向，通过配合xss点，我们可以持久化的xss控制。本文提到的大部分技术来自https://speakerdeck.com/masatokinugawa/pwa-study-sw什么是Appcache 和 Service Worker?伴随着H5的诞生，Web app越来越需要应用化，与之相关，各种离线的需求也接踵而至，Appcache就是用来做网站的离线缓存的，可以通过