Cyfrin 2025年5月区块链安全和教育新闻通讯

Cyfrin 的区块链安全和教育通讯：2025 年 5 月

新的 web3 开发课程、重大智能合约攻击、审计见解、Aderyn 更新以及区块链开发人员必备的安全编码技巧。

刚刚发布： ZKsync、Circle 和 Cyfrin 的全栈 Web3 速成课程！只需 8 小时即可学习构建区块链驱动的应用程序，并开始你作为全栈 web3 开发人员的旅程。

‍

继续阅读 Cyfrin 的月度更新、安全新闻和行业见解。

‍

来自 Cyfrin 的世界

Aderyn v0.0.35 已上线，具有 Hardhat/Soldeer 支持、更快的启动速度、更好的误报处理以及 GitHub CI 集成 以在合并之前发现问题。

‍

‍

• 投资于你的职业生涯，并选择 正确的区块链开发者认证。通过获得你的 SSCD+ 来打开他人梦寐以求的大门。

‍

• Cyfrin 加入 Circle 的联盟计划 以确保 DeFi 的未来，并帮助世界链上化。

‍

• 通过 Updraft 的 rETH 集成课程 掌握在 Rocket Pool 中的质押、收益、再质押和 DeFi 集成。

‍

• 查看我们 即将举行的品牌大使活动和研讨会！

‍

• CodeHawks Eagle 成功案例：在短短 18 个月内，Al-Qa'qa' 从前端编码发展到保护价值数十亿美元的智能合约。

‍

如果你想成为一名顶级安全研究员，Solodit Checklist Explained 系列课程将教你如何：

• 使用 Solodit Checklist 作为安全智能合约开发的基础。
• 通过更好的 gas 和调用管理来阻止 DoS 攻击（第一部分）。
• 通过保护队列和外部调用来阻止 DoS 攻击（第二部分）。
• 通过严格的内部核算来阻止 donation attacks。
• 通过保护交易流程来防御 front-running。
• 阻止 griefing attacks 并保护用户体验。
• 通过时间戳、随机性和交易顺序来阻止 validator exploits。

‍

备受瞩目的黑客攻击和安全事件

Mantra （55 亿美元）： 17 个钱包地址将 2.27 亿美元转移到交易所，导致 OM 代币价值暴跌 90%，引发了经典的 rug pull 传闻，并引起了社区的强烈抗议。BTC （3.3 亿美元）： 一位老年用户上当受骗，在有针对性的网络钓鱼攻击中发送了 3,520 个 BTC；资金迅速通过 Monero 清洗。UPCX （7000 万美元）： 攻击者入侵了 ProxyAdmin 合约以添加后门，耗尽了 1840 万个 UPC 代币。被盗资金仍留在已知钱包中，未被移动，调查仍在继续。KiloEx （750 万美元）： 价格预言机漏洞允许攻击者操纵资产价格，并通过开设和关闭杠杆头寸获利。资金已返还，KiloEx 承诺全额赔偿并为质押者提供额外 APY。

‍

KiloEx 的 Oracle 漏洞利用逻辑；来源：QuillAudits

‍

‍ Loopscale （580 万美元）： Solana 上的金库定价缺陷允许攻击者耗尽资金。后来根据白帽赏金协议返还了 280 万美元。BTCM App （100 万美元+）： overPaper 函数中的逻辑缺陷允许黑客重复提款。该漏洞仍在持续，资产正在跨链转移。

‍

行业新闻和资源

49% 的易受攻击的智能合约在部署后 30 天内被黑客入侵。 了解为什么 部署前安全 至关重要。

‍

中位数与平均漏洞利用时间线：年度指标（2020-2024）；来源：Time-to-Hack

使用此 多重签名清单 保护你的金库，以保护签名者密钥并保持审计就绪状态。通过 fuzzing 和 形式验证 来 掌握规范思维，以发现隐藏的风险并加快审计速度。Vitalik Buterin 规划了一条务实的道路，通过融合乐观、ZK 和 TEE 证明来实现更快、更安全的 L2 最终性。

ETH 验证器存款合约中的一个隐藏 缺陷 可能会让攻击者窃取质押资金。了解 每位开发人员都必须知道的防御措施。钱包漏洞可能会 在你甚至没有点击的情况下，悄悄地耗尽你的加密货币。法学硕士不会取代审计工具，但可以 加速 PoC 构建和报告。

‍

协议通过 Updraft 认证招募人才

立即安排你的认证考试！ ‍ 开始在 区块链集训营 上学习智能合约开发和安全。

参与 CodeHawks 上的竞争性审计。

有人向你转发了此新闻通讯吗？ 在此处订阅！

• 原文链接： cyfrin.io/blog/cyfrins-b...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～