Cymetrics Tech Blog

2022 年 4 月 17 日，一個去中心化的演算法穩定幣協議 Beanstalk 遭受攻擊，駭客偷走了大約 7700 萬美金的資產，也使得原本應該是 1 塊美元的穩定幣 BEAN 一度下跌至 0.063 美元。

什麼是供應鏈攻擊，會出現在哪邊？我們又該如何防範呢？讓我們透過實際案例一起來看看程式開發流程中有可能會發生的攻擊，或者是哪些環節會有被供應鏈攻擊的可能吧！

隨著中小企業開始擁抱數位轉型，缺乏資安資源的數位領域新手 – 中小企業，開始成為駭客的最佳標靶。根據 CISCO 2021 年的中小企業數位轉型報告，在亞洲太平洋地區（ APJC ） 56％ 的中小企業在過去 12 個月中曾經歷網路安全事件，其中攻擊手法都是再常見不過的項目，包含： DDoS 攻擊、惡意軟體和社交工程等。

前一陣子開始研究智慧合約相關的漏洞，參考了許多資料以後對一些經典的 DeFi 遭駭事件重新做了分析，並撰寫了分析報告。雖然說有些事件有點舊了，但類似的漏洞依舊不斷發生，還是很有分析的價值。接下來也會陸續有幾篇相關的分析報告產出，而這次來看的是一個叫做 Poly Network 的專案。

假設網站在弱掃或滲透之後找到一堆問題，而且問題數量偏多，想一次性解決大量問題的話，幫網站加一層保護來過濾攻擊是很有效的解決方式，這邊要介紹的就是 NAXSI 這套開源 WAF 的使用方法。

假設網站在弱掃或滲透之後找到一堆問題，而且問題數量偏多，想一次性解決大量問題的話，幫網站加一層保護來過濾攻擊是很有效的解決方式，這邊要介紹的就是 ModSecurity 這套開源 WAF 的使用方法。

交易所可以說是 Web3.0 中心化服務的核心，但在近幾年交易所資安事件頻傳，找一些更科學的方式來選交易所變得相當重要，憑感覺選越來越危險了。

在內部檢測過程中會需要針對目標做自動化檢測，如何設計與實作自動化與彈性增加模組，下面提供一個情境Database 裡整理了 100 個 IP, domain，需要對目標使用 nmap, subdomain enumeration 或是其他檢測工具串接(有可能是 local script, binary, docker)，需要可以判斷輸出結果有沒有符合特定特徵