Intro a Synthetix 是一個DeFi合成資產的 protocol，允許用戶 mint 和交易各種與現實世界資產(RWA)掛鉤的合成代幣 (Synth) 法幣 加密貨幣 - 例如 sKRW (韓元), sETH以及原生token SNX 大宗商品 整個系統的合成資產價格來自於預言機 (Oracle) 提供的外部資料，例如匯率、商品或加密貨幣的價格。

📍 Analysis DeFiHackLabs Week8 Group 2 Assignments HopeLend Incident 📍 Ethernaut CTF Series https://ethernaut.openzeppelin.com/ Will try my best to go through background knowledge and the solution Ethernaut CTF Level 0 - Hello Ethernaut

題目 仔細看下面的合約程式碼。 要通過這關你需要 獲得這個合約的所有權 把合約的餘額歸零 可能會有用的資訊

題目 跨越守衛的守衛並且註冊成為參賽者吧。 可能會有用的資訊 回憶一下你在 Telephone 和 Token 關卡學到了什麼 可以去翻翻 Solidity 文件，更深入的了解一下 gasleft() 函式的資訊 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0;

題目 這個合約的開發者非常小心的保護了 storage 敏感資料的區域. 把這個合約解鎖就可以通關喔！ 這些可能有幫助： 理解 storage 是如何運作的 理解 parameter parsing 的原理 理解 casting 的原理

題目 這台電梯會讓你到不了頂樓對吧？ 可能會有用的資訊 有的時候 Solidity 不是很遵守承諾 我們預期這個 Elevator(電梯) 合約會被用在一個 Building(大樓) 合約裡 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0;

題目 這一關的目標是偷走合約的所有資產。 可能會有用的資訊 沒被信任的(untrusted)合約可以在你意料之外的地方執行程式碼 fallback 方法 拋出(throw)/恢復(revert) 的通知 // SPDX-License-Identifier: MIT

題目 下面的合約是一個很簡單的遊戲：任何發送了高於目前獎品 ether 數量的人將成為新的國王。在這個遊戲中，新的獎拼會支付給被推翻的國王，在這過程中就可以賺到一點 ether。 看起來是不是有點像龐氏騙局 (*´∀`)~♥ 這麽好玩的遊戲，你的目標就是攻破它。 當你提交實例給關卡時，關卡會重新申明他的王位所有權。如果要通過這一關，你必須要阻止它重獲王位才行 (ﾒﾟДﾟ)ﾒ // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; contract King {

題目 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; contract Vault { bool public locked; bytes32 private password; constructor(bytes32 _password) { locked = true;

題目 有些合約就是不想要收你的錢錢 ¯_(ツ)_/¯ 這一關的目標是使合約的餘額大於 0 可能會有用的資訊 fallback 方法 有時候攻擊一個合約最好的方法是使用另一個合約

題目 這一關的目標是取得創建實例的所有權。 可能會有用的資訊 仔細看 solidity 文件關於 delegatecall 的低階函式。它是如何怎麽運行，如何委派操作給鏈上函式函式庫，以及它對執行時期作用範圍的影響 fallback 方法(method) 方法(method)的 ID // SPDX-License-Identifier: MIT

題目 這一關的目標是駭入下面這個簡單的代幣合約。 你一開始會被給 20 個代幣。如果你找到方法增加你手中代幣的數量，你就可以通過這一關，當然代幣數量越多越好。 可能會有用的資訊 什麽是 odometer? // SPDX-License-Identifier: MIT

題目 取得下面合約的所有權，來完成這一關 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; contract Telephone { address public owner;

題目 這是一個擲銅板的遊戲。 你需要連續地猜對擲出來的結果。為了完成這一關，你需要利用你的超能力，然後連續猜對十次。 // SPDX-License-Identifier: MIT pragma solidity ^0.8.0; contract CoinFlip { uint256 public consecutiveWins;

題目 獲得下面合約的所有權來完成這一關 // SPDX-License-Identifier: MIT pragma solidity ^0.6.0; import 'openzeppelin-contracts-06/math/SafeMath.sol'; contract Fallout {

題目與Setup https://ethernaut.openzeppelin.com/level/0x7E0f53981657345B31C59aC44e9c21631Ce710c7 本關算是Setup的一個簡單關卡，目的是認識環境以及Setup Setup Metamask 選擇Testnet - 我選擇Sepolia 先去Faucet要測試Token - https://sepoliafaucet.com/ 設定好後，回到Ethernaut關卡0

前言 在現在的工作中，偶而會碰到一些雲端相關的問題 發現自己對於cloud security涉獵不深，只有在之前考的AWS-SAA 對於簡單的架構有一些基礎，但其實不知道如何用安全的角度來看待比較正確 或者是一個針對雲端的滲透測試，他的思路會長怎麼樣 剛好工作上有機會讓我來上這門課，讓我可以比較有系統性的認識一下

課程介紹 本堂課程，首先會介紹現在流行的SSDLC開發方式，以及為何需要SSDLC 在每個環節，會介紹如何以資訊安全的角度切入來遵循security best practice 如何設計/檢驗一個安全的功能 威脅建模 Secure Code Review的思路 Penetration Testing

Why? 惡意程式開發軍火商花費大量時間與資源辛苦開發出來的產品 如果輕輕鬆鬆就被看出來在做什麼那不是很虧嗎？ 所以軍火商會使用一些Anti-Debug/Analysis的方法來增加分析的難度，想隱藏真正最重要的部分 惡意程式分析常用的就是三個工具：Sandbox / VM / Debugger 所以自然成為軍火商的目標

Virtual Memory 一般我們看到的Windows操作系統，都是在User Mode底下的 滑鼠/鍵盤 瀏覽器 Office 遊戲 .... 相對的，在我們看不到的底層系統運作稱為Kernel Mode