0x00 基础知识EVM虚拟机在解析合约的字节码时，依赖的是ABI的定义，从而去识别各个字段位于字节码的什么地方。关于ABI，可以阅读这个文档：https://github.com/ethereum/wiki/wiki/Ethereum-Contract-ABI一般ERC-20 TOKEN标准的代币都会实现transfer方法，这个方法在ERC-20标签中的定义为：function transfe

Before Read本文是去年乌云关站前夕在drops上发表的，但是之后的事情大家都知道，非常仓促，估计很多爬虫没有收录此文，我的blog上居然也没有留下，所以特地翻出来备份一下。0x00 概述国外的安全研究人员Moritz Bechler在2月份发现了一处Jenkins远程命令执行漏洞，该漏洞无需登录即可利用，也就是CVE-2016-0788。官方公告是这样描述此漏洞的：...

研究ZooKeeper时顺便看到的，危害级别比较低，居然上了CVE，目测Apache有干爹照顾。对于node的访问，ZooKeeper提供了相应的权限控制，即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node，而对这个node的子节点是无效的，也就是不具有递归性。比如/app只能被10.10.10.1访问，/app/test为任何人都可以访问（world，anyon...

0x00 JWT是什么JWT全称JSON WEB Token，可以理解为一个小型的协议，用于客户端和服务端可靠地传输数据。一个JWT串（来自maimai）实际上长成这个样子：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1IjozNDcyMjU4NiwiaWQiOjc3Mjk3NTl9.I3p2MonJyAAMdsk4VyKgrQT6jal4jJSJv

0x00 概述Fomo3D是一个非常流行的，并且成为币圈现象级的资金盘游戏。据笔者所知，目前国内大部分资金盘游戏都是从Fomo3D的几个合约基础上进行的修改。然而，在7月23号，国外著名社区reddit上有人发现了Fomo3D的一处漏洞[1]，攻击者可以利用一定的手段来绕过Fomo3D的防护，从而可以无限制命中空投来进行牟利。本文主要分析这个攻击的具体原理，并提醒广大山寨Fomo3D的...

在本系列中，我们将对以太坊现有的安全问题和前沿的各类型漏洞挖掘方法进行综述。本文是本系列的第一篇文章，主要介绍以太坊的机制和存在的安全问题的分类。01什么是以太坊智能合约？以太坊智能合约基于区块链（Blockchain）技术，作为一种旨在以信息化方式传播、验证或执行的计算机协议，为各类分布式应用服务提供了基础。简单来讲：如果把比特币看作是分布式的记账本；以太坊便是可以运行程序的分布式计算平台，程序

TL;DR这是我在先知安全大会上分享议题中的一部分内容。主要介绍了利用对call调用处理不当，配合一定的应用场景的一种攻击手段。0x00 基础知识以太坊中跨合约调用是指的合约调用另外一个合约方法的方式。为了好理解整个调用的过程，我们可以简单将调用发起方合约当做传统web世界的浏览器，被调用的合约看作webserver，而调用的msg则是http数据，EVM底层通过ABI规范来解码参数，获取方法选择

一、分析背景2021年已经接近尾声，回顾今年的 crypto currency 市场，在大洋彼岸，NFT 无疑是最具热点的话题和方向。随着 OpenSea 等平台的崛起，市面上的 NFT 项目也层出不穷。卫报：NFT市值突破220亿美金众所周知，NFT 项目强依赖于社区与热点，那么我们如何评估一个 NFT 项目的优劣，如何才能为投资行为提供强有力的支撑依据呢？在本文中，笔者分享一下前段时间与加密货