2025年6月区块链安全与教育新闻简报

探索 Cyfrin 六月份的综述：新的 Updraft 课程、主要的 DeFi 漏洞利用、高级模糊测试见解以及实用的 Web3 安全提示，以保持领先。

Updraft 的全新学习体验已上线 ！ 享受更智能的课程导航，帮助你更快地学习，官方的熟练度考试来证明你的技能，以及新的课程来提升你的能力。

‍

继续阅读以获取来自 Cyfrin 的月度更新、安全新闻和行业见解。

‍

来自 Cyfrin 的世界

介绍 Wise Signer ： 学习逐步验证钱包交易，并始终准确了解你所签署的内容。

‍

新课程：

• 通过 Updraft 的新课程，只需 1 小时即可掌握 ZKP 的基础知识。 快速掌握你对零知识证明和隐私优先协议的理解。

‍

• Chainlink 基础知识 已在 Updraft 上线，包含更新的课程和官方的熟练度考试。

‍

• 在 Updraft 的 全栈 Web3 开发速成课程 中，使用 ZKsync、Circle 和 Fleek 构建由区块链驱动的应用程序。

‍

CodeHawks Eagle 成功案例：在不到一年的时间里，0x539.eth 从 web2 浏览器变成了精英智能合约审计员，保障了数十亿美元的安全。

‍

提升你的区块链安全技能和知识的见解：

• EIP-7702 解读： EOA 现在可以像智能钱包一样批量处理交易，从而使 DeFi 更加顺畅，但如果你不验证所签署的内容，风险也会更大。

‍

• 使用 Python 解码 calldata，以阻止 UI 欺骗并避免签署恶意交易。

‍

• 使用 Foundry 模拟 txs 来测试合约并阻止欺骗性钱包提示。

‍

• Cyfrin 在Aave V3.3 的公共利益审计中发现了 10 多个 gas 优化。

‍

来自 Solodit Checklist Explained 系列：

• 发现价格操纵攻击，使用闪电贷和薄弱的预言机。

‍

• 通过正确的状态更新和受保护的 view 函数来阻止重入攻击。

‍

备受瞩目的黑客攻击和安全事件

Cetus Protocol （2.23 亿美元）： 攻击者欺骗了 token 并扭曲了 AMM 曲线逻辑以耗尽合约，使 Sui 的 token 价格暴跌 90% 以上，并迫使合约完全关闭。

‍

Cetus Protocol 漏洞利用 2025 年 5 月 22 日；来源：MERKLE SCIENCE

‍

Cork Protocol （1200 万美元）： 攻击者利用汇率检查中的回退逻辑来铸造虚假 token，在不到 17 分钟的时间内消耗了 3,762 wstETH 并将其转换为 4,530 ETH。 ‍ Mobius Token （210 万美元）： 一个具有错误数学的未经验证的合约允许攻击者以极低的成本铸造 9.7 万亿个 token，然后将其转储为 USDT，引发了强烈的 rug pull 迹象。LNDFi （118 万美元）： 一项隐蔽的代码调整赋予了管理员密钥耗尽资金的权力。 没有多重签名，没有保护措施，只是一个隐藏在眼前的 41 天的定时炸弹。

‍

行业新闻和资源

模仿朝鲜的价值数十亿美元的 Bybit 抢劫案：从 macOS 恶意软件和 AWS 枢轴到静态站点篡改！ 了解如何检测相同的策略，并了解黑客攻击是如何展开的 >

围绕 Safe{Wallet} 漏洞导致 Bybit 黑客攻击的事件时间表； 来源：Elastic

Guardian Audits 使用不变性模糊测试来捕获破坏保险库的错误。 探索如何 > Solana 不是以太坊！ 缺少签名者检查或帐户验证会打开严重漏洞。 了解为什么这很重要 > 对顶级以太坊客户端的模糊测试揭示了 40 多个隐藏的错误，从 gas 错误计算到堆栈问题。 看看他们发现了什么 >

借贷协议在 DeFi 中持有超过 500 亿美元，但设计缺陷可能会将收益变成风险。 注意这些危险信号 DeFi 安全峰会浮现出当今面临的最大威胁，从社交工程到智能合约缺陷。 深入了解这些见解 > web3 系统中的 Web2 错误可能会崩溃 dApp、泄露密钥并触发代价高昂的漏洞利用。 了解如何捕获它们 >‍ 对 Beraborrow 的模糊测试暴露了一个关键错误，该错误在手动审查中被忽略。 发现如何 >‍

• 原文链接： cyfrin.io/blog/cyfrins-b...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～