Cymetrics Tech Blog

以太坊智慧合約權限管理揭秘:常見的權限控制漏洞

意即「誰可以做這件事」,這在智慧合約的世界中非常重要。合約的存取控制可能會影響哪些角色可以鑄造代幣、對提案進行投票、凍結轉帳以及許多其他關鍵的函數。如何正確的實行權限控制非常重要,方能避免未經授權的行為者進行操作。在 OpenZeppelin 中,主要有兩種方式來實現存取控制:Ownable 和 Role-Based Access Control。Ownable 使合約擁有者掌握控制權,適合較簡單的應用,但當涉及多個角色或權限層級時,RBAC 提供了更精細的控制,讓不同角色執行特定功能。

解密 Solidity 中的 DoS 攻擊:資安漏洞與防範策略

Solidity 中的 DoS(Denial of Service)是一種常見的漏洞型態,藉由耗盡資源或阻斷合約運作,使得功能無法如預期執行來達成。在區塊鏈的世界中程式碼就是資金流動或是內部邏輯的執行的實現,DoS 在嚴重的情境下,可能會直接導致資產或資金變磚,從而直接導致使用者或協議的損失。在本文將介紹幾種常見的 DoS 情境:Unbounded loopIntegration/Logical errorRefund failed

政府投標必備:如何有效運用資安報告

在當專案經理的這些時間裡,除了透過專案進行觀察到一些台灣企業對「資安」的看法與痛點之外,近期也有不少「政府採購預算需單獨編列資安費 」的新聞出現,內容重點大致分為三個:資安預算「獨立」、禁用陸資廠牌產品、陸資廠商不能參與標案,同時,政府也針對以往資安廠商投標的困境,做了制度上的改善,像是採用最有利標時不訂底價,及「創意」取代「回饋」項目,作為評選廠商的區隔。從這些政府的改變當中,不難看出資訊安全在台灣的重視程度是愈來愈高了。

OpenAI Embeddings 與 Retrieval-Augmented Generation在實務中的應用與挑戰

想了解開發 OpenAI 會遇到哪一些坑嗎?想了解如何解鎖 Embeddings 和 Retrieval-Augmented Generation 讓 GPT 的模型就算沒有企業獨有的 knowhow,也能產生出有意義的內容嗎?那就快點手刀點進來吧,讓您滿載而歸!

遊走紅隊與藍隊:Purple man 我的超人

很高興 2023 年 5 月可以在 CYBERSEC 2023 臺灣資安大會 分享一些平常在關注或是有趣的東西。紅藍對抗隨時都在發生,紅隊利用新穎的漏洞與手法進行攻擊,藍隊可以使用各種機制與防護中斷攻擊。本篇將介紹一些好用的技巧與工具。

那些隱藏在 CDN 中的危險:為什麼 CDN 可能沒有你想的那麼安全

內容分發網絡 (CDN) 是現代網際網路占比相當重要的一個部分,它為全世界的使用者提供快速可靠的連結與與網路資源。但是,儘管 CDN 提供了許多好處,它們也會引入許多人可能不知道的新的安全風險。本文中將探討 CDN 的隱藏危險,並探討為什麼 CDN 可能不像你想像的那麼安全。透過簡單介紹 CDN 可能引入的各種漏洞,探討如何保護自己和您的企業免受這些威脅。本文可幫助您更好地了解 CDN 所涉及的潛在風險及其如何緩解這些風險。

DeFi 借貸協議 Cream finance 遭駭事件分析

2021 年 10 月 27 日,借貸協議 Cream fiancne 遭到閃電貸攻擊,損失高達 1.3 億美金。

去中心化借貸平台 Lendf.Me 攻擊分析

2020 年 4 月 19 日,去中心化的借貸平台 Lendf.Me 遭到攻擊,損失大約 2500 萬美元