1、编写智能合约pragma solidity ^0.4.4;contract test {function multiply(uint a) returns(uint d){return a * 7;}}2、获取智能合约字节码和abi将上面的合约代码拷贝到https://remix.ethereum.org，编译，然后拷...

概述TrueSec在2017年4月对以太坊的GO语言（https://ethereum.github.io/go-ethereum/）实现进行了代码审计。审计结果表明代码质量是比较高的，且开发者具备一定的安全意识。在审计过程中没有发现严重的安全漏洞。最严重的一个漏洞是当客户端的RPC HTTP开启时，web浏览器同源策略的绕过。其他发现的问题并没有直接的攻击向量可供利用，报告的其他部分为通用的..

1. 什么是目录遍历漏洞“目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造../..%2F/%c0%ae%c0%ae/%2e%2e%2f或类似的跨父目录字符串，完成目录跳转，读取操作系统各个目录下的敏感文件。很多时候，我们也把它称作“任意文件读取漏洞”。2. Python和Djan...

更多精彩内容请移步至：https://xz.aliyun.com/t/4145

一、前言在上文中，我们主要是针对随机数安全进行了理论方面的密码学研究。在理论层面上我们又进行了简单代码的分析。而本文不在过多的介绍理论知识，而更多的将重点放在代码层面，针对现实实例中的代码进行安全分析。二、比特币随机种子生成详解首先我们来研究下区块链最大的应用——比特币在随机数方面是如何实现的。首先我们将源码下载到本地，对random.h进行查看。得到源码：/* Seed O...

一、前言在前文中，我们简单提及了“智能合约”的概念以及其安全属性。之后针对一些严重的事件展开合约安全的深入分析。在本文中，我们详细的介绍一下智能合约的概念，并且为大家讲述一些关于智能合约方面的攻击事例。并针对相关事例列举防御手段。而我们知道智能合约的漏洞常存在于以太坊的Solidity中，所以本文中会有大量的合约代码分析。我也会为大家讲述相关合约分析流程。本文为原创稿件，如有疑问大...

上一篇文章中我们讲述了传统的Pow以及Pos相关的延伸共识算法。而在这篇文章中，我们讲述一下区块链的精髓PBFT以及其延伸算法。在安全方面，我们给大家科普一下日蚀攻击已经贿赂攻击。并且一步一步带大家复现一下前些日子爆出的区块链整数溢出攻击。希望大家能够从文章中了解到区块链的共识算法，并对相应的攻击手段有所掌握。为了便于初学者接受，文章选择从基础开始讲起。有需要讨论的同学下方留言即可。...

前言说起以太坊的智能合约，因为区块链上所有的数据都是公开透明的，所以合约的代码也都是公开的。但是其实它公开的都是经过编译的OPCODE，真正的源代码公开与否就得看发布合约的人了。如果要真正的掌握一个合约会干什么，就得从OPCODE逆向成solidity代码。下面进行练手和实战，实战的是今年PHDays安全会议的比赛里的一道题。在etherscan上看到的合约的代码示例:工欲善其事，...

先来看影响情况更多详情可以到这里查看可以看到今日（2018,5,24）发生了三比大量转账的记录，这些都是这个漏洞所造成的，其中有个比较搞笑的事情：看第1、2笔红框过的交易，攻击者0x4205....从0xeee28...用户里窃取了660459561个token。然而，没过几分钟攻击者0x4205窃取来的token全部都被0xc713用户给转走了。......这说明什么？攻击者可以从任意用户中盗币

参考：Cisco