WEB3.0安全

DeeLMind 提示

新知识，你的学习思路是什么？

YouTube系列教程

B站系列教程

什么是WEB3.0

代币化资产、投票系统、加密货币钱包、去中心化交易平台、游戏和移动App。

1. WEB1.0 静态
2. WEB2.0 动态
3. WEB3.0 属于自己

攻击思路

• 信息搜集
• 漏洞扫描
• 漏洞挖掘
• 漏洞利用
• 开始攻击
• 代码审计

工具网站

• Solidity IDE - remix

• Smart Contract Monitor - Forta

• Solidity Decompile Online Contract

• Solidity Decompile Bytecode Contract

• CTF

漏洞

• 传统漏洞
• 特有漏洞（逻辑漏洞）

https://web3sec.notion.site/web3sec/8e9274d6dbbc4ff18d9034179a173fca?v=7ea2c3edd2514c7db80fa61db7571291

参数验证不足 - 任意指令执行 - callFunction
抢跑攻击
不适当的函数存取控制
不正确使用 balanceOf 来计算奖励
不适当的函数存取控制
未验证 Token 真实性
不正确的函数存取控制
WhiteListMint 函数缺少参数 chosenAmount 检查
可被预测的伪随机数
不正确的逻辑检查，可透过 skim() 获得奖励
不安全使用 balanceOf 来当作价格参考