Nullorm

4개월간의 업사이드아카데미 1기 DeepHigh팀 팀장으로서의 활동을 끝내고, 어떤 공부를 해야할지를 고민해보다가 프로젝트 내용에 대해 내가 정말 완벽히 이해하고있는가를 생각해보았다.작업했던 모든 산출물을 완벽하게 이해하고있는지에 대해 우선적으로 생각해 보았고, 더 공부하고 발전시킬 부분이 있다고 생각하였다.프로젝트의 주제는 Defi Lending Protocol Audit이었으며, 이에 대한 산출물은 EVM기반 Lending 프로토콜에 대한 위협모델링 및 관련 자료들이다. 구체적인 내용은 아래 내용을 통해 알 수 있다. https://deephigh.gitbook.io/deephigh Welcome | DeepHighWelcomedeephigh.gitbook.io실제 위협모델링을 통해 Lending 프..

지금까지 몇개월정도 Web3 offensive 보안 공부를 하면서 취약한 컨트랙트를 보면 일단 call()함수가 사용되었나를 보고, 사용되었으면 reentrancy attack이 가능하겠다~ 정도를 생각해왔다.그리고, call{value: }() 함수 사용으로 인한 reentrancy attack의 countermeasure로 사용되는 함수가 send(), transfer() 인 것으로 생각하고 있었다.그런데 몇몇 자료들을 찾아다니다보니, 꼭 그런것도 아니겠구나 싶었다. 오히려 send(), trnasfer() 함수가 reentrancy attack을 유발할 수 있겠구나 싶었다.이 내용을 한번 자세히 정리해보고자 한다. 지난번 포스팅에서 송금 관련 함수들 (send, transfer, call)에 대해 ..

해외 유명 워게임 사이트인 Hack The Box의 Blockchain 보안 워게임을 풀어보았다.링크: https://app.hackthebox.com/challenges/Distract%2520and%2520Destroy Hack The Box app.hackthebox.com1. 문제 설명이다. 그렇다고 한다. After defeating her first monster, Alex stood frozen, staring up at another massive, hulking creature that loomed over her. She knew that this was a fight she couldn't win on her own. She turned to her guildmates, trying ..

다음 레벨을 위한 패스워드는 spaces in this filename이라는 파일 안에 담겨져 있다고 한다. 어? 굉장히 이지 하구만.. 하면서 cat으로 실행해보면 각각의 단어로 이루어진 파일들이 존재하지 않는다고 한다. cat 명령어는 공백을 기준으로 서로 다른 파일이라고 인식하기 때문에 이런 경우 각각, spaces, in, this, filename 이라는 각기 다른 이름의 파일로 인식하여 실행을 시도한다. 따라서 이를 해결하려면 공백을 무시할 수 있도록 해야한다, 두 가지 해결 방법이 존재하는데,(더 있을 수도 있음...) 1. 따옴표로 묶기 2. '\' 기호 사용하기 이렇게 하면 공백을 같이 볼 수 있다. 성공``~