全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

利用 GPT-5.4 反编译字节码

本文介绍了作者如何利用GPT-5.4反编译以太坊智能合约字节码的实验。文章通过分析一个钓鱼合约和Balancer V2攻击者的合约,详细阐述了GPT-5.4如何结合Etherscan、函数签名数据库和运行时嵌入字符串等多种工具,逐步推理并重构合约行为及背后的攻击逻辑。
字节码反编译  GPT  以太坊  智能合约  Balancer  逆向工程 
  • jaczkal
  • 发布于 2天前
  • 阅读 ( 956 )
  • ( 216 )

跟风“养龙虾”必看!OpenClaw漏洞缠身,已有万人设备被接管、资产被盗

近期 AI 工具 OpenClaw 爆火的同时爆发大规模安全事故,其因权限过高、安全配置缺失等问题,存在提示词注入、AI 失控等四大致命风险,全球超 3 万实例遭黑客攻陷,黑产还借机推出假币、诱导转账等相关诈骗,国家相关机构已接连发布紧急安全预警。
安全事故  黑客攻击  龙虾 

臭名昭著的漏洞摘要 #7:时间戳攻击、重入失败与金库劫持

该文是《The Notorious Bug Digest #7》精选汇编,深入分析了近期Web3领域的三起安全漏洞和事件。文章详细解读了CometBFT中的时间戳操纵漏洞、Gnoswap中因值语义导致的重入锁失效问题,以及Taraxa Bridge中不当授权检查造成的资产劫持。通过这些案例,旨在为Web3安全社区提供教育资源和经验分享。
web3安全  智能合约漏洞  时间戳操纵  重入攻击  权限绕过  区块链安全 

臭名昭著的漏洞摘要 #7:时间戳攻击、重入失败和金库劫持

本文深入分析了四个Web3安全漏洞:CometBFT中因验证者识别不一致导致的BFT时间戳操纵漏洞(Tachyon),Gnoswap中因Go语言值语义特性失效的重入锁,FAsset系统中因委托链接过期导致的代理金库劫持,以及Taraxa跨链桥中因授权检查依赖同交易内状态修改而导致的资产被盗事件。这些案例强调了数据验证一致性、生命周期感知访问控制和授权检查时机的重要性。
时间戳攻击  重入攻击  智能合约安全  BFT共识  跨链桥  漏洞分析 

ERC-4337 智能账户:已在审计中发现的六种失效模式

这篇文章深入分析了ERC-4337账户抽象技术中的六种主要安全漏洞,如签名重放、支付大师滥用和模块隔离不足等。作者强调了这些漏洞的复杂性和相互作用,并指出在部署账户抽象逻辑前进行全面威胁建模和审计的必要性,尤其是在AI代理应用场景中。
账户抽象  ERC-4337  智能合约安全  审计  支付大师  签名重放 
  • zealynx
  • 发布于 6天前
  • 阅读 ( 206 )
  • ( 22 )

EthCC[9] 面向 EVM 和 Solana 开发者的安全指南

这篇文章是EthCC大会的指南,强调了参会者应如何以安全为核心的思维准备大会,重点关注智能合约安全、零知识证明、第二层网络和DeFi等相关技术议题和分会场,并提供了实用的参会建议。
EthCC  智能合约安全  零知识证明  Layer 2  DeFi  攻击面 
  • zealynx
  • 发布于 2026-03-12
  • 阅读 ( 222 )
  • ( 13 )

区块链运营安全评估:基础设施保障

文章指出区块链安全威胁已从智能合约漏洞转向链下运营基础设施,强调需要转变观念,重视对周边运营环境的保护。它提出了一种区块链运营安全评估方法,详细介绍了其评估范围、流程和所遵循的行业标准,旨在帮助组织全面提升安全性,以应对不断变化的攻击向量。
区块链安全  链下安全  运营安全  智能合约漏洞  供应链攻击  密钥管理 

签名安全全景:四种签名体系的常见漏洞模式

四种签名体系(ECDSA+EIP-712、EIP-2612 Permit、BLS 聚合签名、Bitcoin Taproot)的常见漏洞模式,附真实案例攻击链与审计 checklist。
智能合约安全  Solidity审计  签名安全  区块链安全  EIP-712 
  • SymmaTe
  • 发布于 2026-03-11
  • 阅读 ( 306 )
  • ( 12 )

nonReentrant 挡不住的重入:两种你可能忽略的场景

在审计智能合约的过程中,我发现一个很普遍的误区:很多开发者看到合约加了 nonReentrant,就认为重入问题已经解决了。本文通过两个真实案例,讲解两种 nonReentrant 失效的场景——Balance Diff 模式下的外部调用注入,以及跨合约只读重入。
  • SymmaTe
  • 发布于 2026-03-10
  • 阅读 ( 171 )
  • ( 6 )

不牺牲搜索的加密向量数据库

本文深入探讨了向量数据库中嵌入的隐私安全问题。
向量数据库  嵌入  近似最近邻搜索  隐私保护  加密  Scale-and-Perturb 
  • hexens
  • 发布于 2026-03-09
  • 阅读 ( 256 )
  • ( 24 )

高级代币标准安全与审计

文章深入探讨了各种代币标准(如ERC-20、ERC-721、ERC-1155、ERC-4626等)及其在Web3和DeFi生态系统中的复杂安全风险和漏洞。它分析了智能合约和协议原生代币实现之间的差异,提供了针对可组合性、代理模式、跨链交互以及治理风险等方面的安全最佳实践和审计方法。
代币标准  智能合约安全  DeFi  ERC-20  跨链  安全审计 

Web3 中的自动化安全:静态分析对比动态分析 – ImmuneBytes

文章详细探讨了智能合约安全审计中静态分析和动态分析这两种关键方法的应用。静态分析侧重于在代码执行前发现漏洞,通过程序语义、数据流分析等技术;动态分析则通过在不同环境下执行合约来测试其行为,利用符号执行、SMT技术和Concolic测试等。文章强调了结合使用这两种方法对于全面确保Web3应用安全的重要性。
智能合约安全  静态分析  动态分析  符号执行  SMT  Web3 

OpenZeppelin Skills 发布

这篇内容介绍了OpenZeppelin为安全智能合约开发提供的代理技能,支持Skills CLI、Claude Code插件和手动安装。它列出了开发和升级Solidity、Cairo、Stylus和Stellar等智能合约的可用技能,并提到了用于智能合约生成的MCP服务器。
OpenZeppelin  智能合约  安全开发  Solidity  Cairo  Stellar 

不实的断言:攻破 6 个 zkVMs

这篇文章揭示了六个不同的zkVM(包括Jolt、Nexus、Cairo-M等)中存在的严重健全性漏洞。核心问题在于证明者控制的值未能在挑战生成前绑定到Fiat-Shamir记录中,从而允许攻击者通过求解线性或代数方程伪造证明,甚至证明数学上不可能的陈述。文章详细分析了漏洞原理、具体影响,并讨论了此类问题普遍存在的原因及防范措施。
zkVM  Fiat-Shamir  零知识证明  安全漏洞  密码学  健全性 
  • osecio
  • 发布于 2026-03-04
  • 阅读 ( 339 )
  • ( 27 )

zERC20 在 Arbitrum 上线:最完备 L2 的原生隐私

zERC20 在 Arbitrum 上线,它是一个基于零知识证明 (ZK Proof-of-Burn) 的隐私封装器,旨在为 Arbitrum 用户提供原生的链上隐私。用户可以将 ETH 和 USDC 等资产转换为私有资产(如 zETH, zUSDC),实现隐私的交易和持有,同时保持与现有钱包和工作流的兼容性。
zERC20  Arbitrum  零知识证明  链上隐私  Layer 2  EIP-7503 
  • zerc20io
  • 发布于 2026-03-04
  • 阅读 ( 554 )
  • ( 9 )

2026 年六大 Solana 智能合约审计公司

这篇文章为用户提供了选择 Solana 智能合约审计公司的指南,强调了 Solana 专用经验、手动审查深度和过往记录等关键标准。它详细介绍了 Sec3、Halborn、Certora、Accretion、OtterSec 和 Adevar Labs 等六家知名审计公司,并提供了选择和审计后的建议。
Solana  智能合约审计  安全审计  形式化验证  漏洞  Rust 

签名陷阱:Web3中,钱包用户体验为何辜负了用户 – ImmuneBytes

这篇文章深入探讨了Web3中常见的“钱包欺骗”骗局,该骗局并非协议漏洞,而是利用糟糕的用户体验、用户盲目签名和Web3签名信任模型的缺陷,诱骗用户签署恶意消息或交易,从而导致资产被盗。文章强调用户常在不知情的情况下签署不透明的十六进制数据,并呼吁钱包提供商改进用户界面和签名流程,以提升安全性。
钱包欺骗  Web3 签名  用户体验  盲签  社会工程学  EIP-712 

抗量子智能合约审计:在Q日之前保护Web3安全 – ImmuneBytes

文章讨论了量子计算“Q日”对Web3安全的潜在威胁,特别是对智能合约和钱包现有加密基础的影响。强调了通过后量子密码学进行准备的紧迫性,并详细阐述了智能合约审计师在此转型中的关键作用以及以太坊基金会的积极贡献。
量子计算  Q日  后量子密码学  智能合约  web3安全  加密敏捷性 

Web3 前端:黑客的新操场 – ImmuneBytes

文章指出Web3领域在过度关注智能合约安全的同时,忽略了前端界面的安全风险。前端是用户与区块链交互的第一层,但由于其中心化和可变性,极易成为攻击者利用DNS劫持、代码注入等方式窃取资金的入口。文章强调,尽管智能合约安全无虞,前端漏洞仍可导致巨额损失,并呼吁开发者、钱包提供商和用户共同加强前端安全意识和防御。
web3安全  前端安全  智能合约  DNS劫持  交易签名  钱包安全 

智能合约审计面向下一代技术:AI与机器学习系统 – ImmuneBytes

文章深入探讨了区块链安全领域的新兴威胁,指出随着AI和机器学习在协议中的广泛应用,投毒数据、对抗性AI、链下盲点以及zkML的固有风险成为新的攻击面。文章强调智能合约审计需扩展至AI/ML系统,以应对这些超越传统合约漏洞的新型安全挑战。
区块链安全  AI安全  机器学习  投毒数据  对抗性AI  ZKML