文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
你可能用错了 WebView:移动开发者常见的安全隐患
本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView
安全漏洞
加密货币钱包
用户界面攻击
来源欺骗
消息拦截
zellic
发布于 3天前
阅读 ( 310 )
( 16 )
Solidity 弱随机数的不安全性
本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity
随机数
智能合约
安全漏洞
Chainlink VRF
区块链安全
blockmagnates
发布于 6天前
阅读 ( 279 )
( 14 )
掌握 Solidity 中的访问控制
本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity
访问控制
安全漏洞
OpenZeppelin
智能合约
权限管理
blockmagnates
发布于 6天前
阅读 ( 276 )
( 23 )
保守秘密的代价有多高?
本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager
密钥管理
密钥存储
密钥轮换
数据库密码
API密钥
asecuritysite
发布于 2025-08-18
阅读 ( 302 )
( 8 )
第二十二条军规:扫描被入侵的公钥
本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH
公钥
入侵检测
RSA
Ed25519
OpenSSH
asecuritysite
发布于 2025-08-16
阅读 ( 367 )
( 11 )
保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤
本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明
Rollup
安全性
完备性
有效性
OP Stack
以太坊中文
发布于 2025-08-15
阅读 ( 74 )
( 2 )
传统金融许可型资本市场智能合约协议中的漏洞
本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约
漏洞
权限控制
合规性
真实世界资产
RWA
DeFi
Cyfrin
发布于 2025-08-12
阅读 ( 544 )
( 12 )
BlockThreat - 2025年第31周周报
本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞
安全审计
加密货币
黑客攻击
信息安全
多链
BlockThreat
发布于 2025-08-11
阅读 ( 672 )
( 14 )
臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出
本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全
漏洞分析
AMM
Permit2
shift溢出
区块链安全
OpenZeppelin
发布于 2025-08-07
阅读 ( 696 )
( 17 )
Certora 通过形式化验证技术确保智能合约安全
本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3
智能合约
正式验证
Rust语言
Soroban
Solana
Certora
发布于 2025-08-07
阅读 ( 333 )
( 13 )
Solodit 检查清单:三明治攻击
本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击
滑点保护
mempool
去中心化交易所
DeFi
价格操纵
Cyfrin
发布于 2025-08-05
阅读 ( 627 )
( 15 )
【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元
2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击
钓鱼攻击
web3安全
零时科技
发布于 2025-08-04
阅读 ( 364 )
( 11 )
慢雾月度安全报告:7月损失估计达1.47亿美元
2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全
智能合约漏洞
交易所攻击
钓鱼攻击
供应链攻击
区块链安全
slowmist
发布于 2025-08-02
阅读 ( 192 )
( 10 )
零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线
香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币
区块链安全
零时科技
发布于 2025-08-01
阅读 ( 497 )
( 3 )
智能合约安全第六部分:保护以太坊智能合约免受矿工操纵
本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵
Chainlink VRF
智能合约安全
以太坊
随机数生成
Commit-Reveal机制
ankitacode11
发布于 2025-07-31
阅读 ( 601 )
( 38 )
【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发
OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin
Contracts MCP
智能合约
AI
Solidity
Cairo
Stylus
Stellar
OpenZeppelin
发布于 2025-07-31
阅读 ( 1791 )
( 59 )
零时科技 || RareStaking 攻击事件分析
我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击
web3攻击
区块链安全
零时科技
发布于 2025-07-30
阅读 ( 404 )
( 13 )
Rebase 类型代币局限性:舍入误差与拒绝服务攻击问题
本文深入探讨了Rebase代币的漏洞与局限性,分析了由于Solidity语言特性以及EVM的限制,在智能合约中可能出现的舍入误差问题,并探讨了针对智能合约的拒绝服务(DoS)攻击及其防范措施。文章还强调了开发者和审计人员在Web3安全中的作用。
Rebase代币
舍入误差
拒绝服务攻击
智能合约
Solidity
EVM
officer_cia
发布于 2025-07-30
阅读 ( 1103 )
( 37 )
使用 Halmos 进行现代不变性测试
本文介绍了使用 Halmos 工具进行智能合约状态不变性测试的演变过程。首先通过在无状态测试中模拟状态变化来实现,然后利用 Halmos 提供的 cheatcode 简化了测试代码,并加入了快照状态的机制以优化性能。最后展示了 Halmos v0.3.0 版本如何原生支持状态不变性测试,极大地简化了测试流程,并提供了升级和使用 Halmos 的方法。
智能合约
形式化验证
不变性测试
Halmos
SMT solving
状态空间探索
a16z Crypto
发布于 2025-07-29
阅读 ( 533 )
( 7 )
BlockThreat 周报 - 2025年第30周
本周发生了三起安全事件,损失超过 1500 万美元,其中大部分损失来自 Woo X 交易所被攻击。对Roman Storm的Tornado Cash审判由于错误的区块链追踪和对去中心化智能合约的误解而陷入困境。文章还列举了近期发生的安全事件、网络犯罪、钓鱼攻击、诈骗以及恶意软件等,并推荐了一些安全工具。
安全漏洞
智能合约
区块链安全
交易所攻击
网络钓鱼
恶意软件
BlockThreat
发布于 2025-07-28
阅读 ( 569 )
( 30 )
‹
1
2
3
4
5
6
7
8
...
56
57
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
动态提名
发行模式
安全配置
HECO主网链
AI框架
create opcode
topics
交易机会
税收损失收割
LSDs
电子支付
供需模式
Snap Deploy
技术工具
流动性层
PVRB
onSuccess
夹子机器人
calldata compression
Resolver合约
Opium Protocol
交易收据
非交互式证明
Diamond Standard
音乐家
30天文章收益榜
»
Tiny熊
191 篇文章,572 学分
Henry
96 篇文章,569 学分
Helius
151 篇文章,427 学分
寻月隐君
264 篇文章,410 学分
blockmagnates
73 篇文章,407 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: