Cymetrics Tech Blog

2020 年 4 月 19 日，去中心化的借貸平台 Lendf.Me 遭到攻擊，損失大約 2500 萬美元

面對快速發展的客戶群體與機會，不斷的尋找甜蜜點是身為產品經理的目標之一，而專案經理的目標更是明確，讓這些產品、專案、功能順利交付到使用者的手上，有效解決他們的需求。在這樣的目標之下，必須建立一套產品開發流程，讓產品的運作從構想、設計、開發到交付的過程都能夠通順並如期推出。具體來說，Cymetrics 會把整體流程拆分成以下3個部分：需求流程設計流程開發流程

ChatGPT 實在是太好用了，但其開發團隊 OpenAI 為了避免駭客利用 ChatGPT 來進行攻擊，禁止了很多涉及安全性問題的回答，如何不觸及到底線來問出正確答案，成為了駭客與資安研究人員共同研究的新課題。本文的目的是分享一些可以從 ChatGPT 得到答案的方法，然後把這些方法大致分成兩類，分成可以被攻擊者利用的與開發者做防護時需要的，雖然文中實做部分皆以網站為例，但這些方法並不限用於網站攻防，其他資安領域也有很多機會用到。

2022 年 4 月 17 日，一個去中心化的演算法穩定幣協議 Beanstalk 遭受攻擊，駭客偷走了大約 7700 萬美金的資產，也使得原本應該是 1 塊美元的穩定幣 BEAN 一度下跌至 0.063 美元。

什麼是供應鏈攻擊，會出現在哪邊？我們又該如何防範呢？讓我們透過實際案例一起來看看程式開發流程中有可能會發生的攻擊，或者是哪些環節會有被供應鏈攻擊的可能吧！

隨著中小企業開始擁抱數位轉型，缺乏資安資源的數位領域新手 – 中小企業，開始成為駭客的最佳標靶。根據 CISCO 2021 年的中小企業數位轉型報告，在亞洲太平洋地區（ APJC ） 56％ 的中小企業在過去 12 個月中曾經歷網路安全事件，其中攻擊手法都是再常見不過的項目，包含： DDoS 攻擊、惡意軟體和社交工程等。

前一陣子開始研究智慧合約相關的漏洞，參考了許多資料以後對一些經典的 DeFi 遭駭事件重新做了分析，並撰寫了分析報告。雖然說有些事件有點舊了，但類似的漏洞依舊不斷發生，還是很有分析的價值。接下來也會陸續有幾篇相關的分析報告產出，而這次來看的是一個叫做 Poly Network 的專案。

假設網站在弱掃或滲透之後找到一堆問題，而且問題數量偏多，想一次性解決大量問題的話，幫網站加一層保護來過濾攻擊是很有效的解決方式，這邊要介紹的就是 NAXSI 這套開源 WAF 的使用方法。