對本書的贊譽(yù)
序
前言
第1章　區(qū)塊鏈簡介 1
1.1　區(qū)塊鏈的誕生與演化 1
1.2　區(qū)塊鏈的分類 2
1.3　區(qū)塊鏈的生態(tài) 3
1.3.1　比特幣 3
1.3.2　以太坊 4
1.3.3　聯(lián)盟鏈 7
1.3.4　智能合約 8
1.4　本章小結(jié) 8
第2章　交易平臺的安全 9
2.1　數(shù)字貨幣交易平臺及安全 9
2.2　信息收集 11
2.2.1　測試列表 11
2.2.2　案例分析 12
2.2.3　安全建議 17
2.3　社會工程 18
2.3.1　測試列表 18
2.3.2　案例分析 19
2.3.3　安全建議 21
2.4　業(yè)務(wù)邏輯 22
2.4.1　測試列表 22
2.4.2　案例分析 23
2.4.3　安全建議 29
2.5　輸入輸出 29
2.5.1　測試列表 30
2.5.2　案例分析 30
2.5.3　安全建議 36
2.6　安全配置 36
2.6.1　測試列表 37
2.6.2　案例分析 37
2.6.3　安全建議 41
2.7　信息泄露 41
2.7.1　測試列表 41
2.7.2　案例分析 42
2.7.3　安全建議 48
2.8　接口安全 48
2.8.1　測試列表 48
2.8.2　案例分析 49
2.8.3　安全建議 52
2.9　用戶認(rèn)證安全 52
2.9.1　測試列表 52
2.9.2　案例分析 53
2.9.3　安全建議 55
2.10　App安全 56
2.10.1　測試列表 56
2.10.2　案例分析 57
2.10.3　安全建議 67
2.11　本章小結(jié) 68
第3章　智能合約的安全 69
3.1　以太坊智能合約的安全問題 69
3.2　整數(shù)溢出漏洞 70
3.3　重入漏洞 84
3.4　假充值漏洞 92
3.5　短地址漏洞 96
3.6　tx.orgin身份認(rèn)證漏洞 100
3.7　默認(rèn)可見性 103
3.8　代碼執(zhí)行漏洞 109
3.9　條件競爭漏洞 118
3.10　未驗證返回值漏洞 121
3.11　浮點數(shù)及精度安全漏洞 124
3.12　拒絕服務(wù)漏洞 126
3.13　不安全的隨機(jī)數(shù) 133
3.14　錯誤的構(gòu)造函數(shù) 139
3.15　時間戳依賴漏洞 145
3.16　意外的Ether漏洞 147
3.17　未初始化指針漏洞 150
3.18　本章小結(jié) 155
第4章　EOS智能合約的安全 156
4.1　EOS簡介 156
4.1.1　共識機(jī)制 157
4.1.2　智能合約 157
4.2　EOS智能合約的漏洞及預(yù)防方法 157
4.2.1　轉(zhuǎn)賬通知偽造 157
4.2.2　內(nèi)聯(lián)交易回滾 163
4.2.3　黑名單交易回滾 165
4.2.4　弱隨機(jī)數(shù) 167
4.2.5　整型溢出 178
4.2.6　hard_fail狀態(tài) 181
4.3　本章小結(jié) 183
第5章　錢包的安全 184
5.1　數(shù)字貨幣錢包簡介 184
5.1.1　軟件錢包 185
5.1.2　硬件錢包 186
5.1.3　紙質(zhì)錢包 187
5.1.4　錢包的安全問題 187
5.2　軟件錢包的安全審計 188
5.2.1　App客戶端安全 188
5.2.2　服務(wù)端安全 194
5.2.3　錢包節(jié)點安全 195
5.2.4　第三方錢包安全 198
5.2.5　會話與認(rèn)證安全 201
5.2.6　業(yè)務(wù)邏輯安全 205
5.2.7　傳輸安全 206
5.3　硬件錢包的安全審計 208
5.3.1　軟件攻擊 208
5.3.2　供應(yīng)鏈攻擊 208
5.3.3　邊信道攻擊 209
5.3.4　設(shè)備數(shù)據(jù)存儲安全 211
5.4　本章小結(jié) 211
第6章　公鏈的安全 212
6.1　比特幣的基本概念和相關(guān)技術(shù) 212
6.1.1　比特幣錢包 212
6.1.2　私鑰和公鑰 213
6.1.3　傳統(tǒng)銀行的交易過程 214
6.1.4　比特幣的交易過程 214
6.1.5　如何防止重復(fù)支付 219
6.1.6　區(qū)塊 220
6.2　聯(lián)盟鏈 221
6.3　共識機(jī)制的安全 223
6.3.1　PoW共識機(jī)制及安全問題 223
6.3.2　PoS共識機(jī)制及安全問題 231
6.3.3　DPoS共識機(jī)制及安全問題 233
6.3.4　PBFT共識機(jī)制及安全問題 234
6.4　靜態(tài)源碼安全 236
6.4.1　比特幣的校驗機(jī)制—默克爾樹 236
6.4.2　比特幣DoS漏洞分析一 238
6.4.3　比特幣任意盜幣漏洞分析 239
6.4.4　比特幣DoS漏洞分析二 246
6.4.5　小結(jié) 247
6.5　RPC安全 248
6.5.1　以太坊中RPC接口的調(diào)用 249
6.5.2　keystore 252
6.5.3　以太坊的交易流程 254
6.5.4　RPC存在的安全問題 257
6.5.5　小結(jié) 260
6.6　P2P安全 261
6.6.1　比特幣中的P2P協(xié)議 261
6.6.2　P2P存在的安全問題 264
6.6.3　小結(jié) 270
6.7　本章小結(jié) 271
第7章　礦機(jī)與礦池的安全 272
7.1　礦機(jī)安全 272
7.1.1　礦機(jī)分類 272
7.1.2　礦機(jī)相關(guān)的安全問題 274
7.2　礦池安全 281
7.2.1　礦池分類 281
7.2.2　礦池相關(guān)的安全問題 283
7.2.3　小結(jié) 292
7.3　本章小結(jié) 293
第8章　區(qū)塊鏈DeFi安全 294
8.1　簡介 294
8.1.1　DeFi與傳統(tǒng)金融的區(qū)別 295
8.1.2　區(qū)塊鏈DeFi的組成 296
8.1.3　DeFi的未來發(fā)展 300
8.2　區(qū)塊鏈DeFi安全問題及應(yīng)對方案 301
8.2.1　DeFi安全問題 301
8.2.2　DeFi安全事件案例分析 303
8.2.3　DeFi安全防御 319
8.3　本章小結(jié) 320
第9章　區(qū)塊鏈安全案例分析 321
9.1　數(shù)字貨幣交易平臺的滲透測試 321
9.1.1　Web平臺測試 321
9.1.2　釣魚網(wǎng)站搭建 322
9.1.3　文件上傳 324
9.2　智能合約實戰(zhàn)環(huán)境搭建 325
9.2.1　JavaScript VM 326
9.2.2　Injected Web3 327
9.2.3　Web3 Provider 332
9.3　以太坊智能合約整數(shù)溢出漏洞實戰(zhàn) 335
附錄A　區(qū)塊鏈安全大事件紀(jì)年表 344
附錄B　數(shù)字貨幣交易平臺安全速查表 347