全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Damn Vulnerable DeFi - #2. Naive Receiver 漏洞

本文分析了Damn Vulnerable DeFi V4挑战中的 Naive Receiver 漏洞。该挑战结合了闪电贷滥用和元交易转发器的安全问题。攻击者可以通过强制对 FlashLoanReceiver 进行闪电贷,支付手续费来耗尽其资金。然后,通过构造包含池部署者地址的元交易,冒充部署者提取池中的所有资金。
闪电贷  元交易  重入攻击  漏洞分析  以太坊 

Damn Vulnerable DeFi 解决方案 — #3. Truster 漏洞

本文分析了Damn Vulnerable DeFi V4挑战中的Truster漏洞。该漏洞存在于flashLoan()函数中,允许通过target.functionCall(data)执行任意函数调用,攻击者可以利用此漏洞,无需借款即可通过调用approve()函数获得授权,转移pool中的所有tokens到攻击者地址,最终成功攻击。
DeFi  漏洞  flashloan  functionCall  Truster  重入攻击 

Damn Vulnerable DeFi 漏洞解决方案 — #4. 侧门攻击

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”,允许攻击者利用闪电贷,先借出资金并存回,然后在合约账户中获得信用,最后提取所有资金。文章提供了攻击流程以及相应的解决方案,并提出了预防措施,即闪电贷合约应使用transferFrom()函数从用户合约提取资金。
以太坊  智能合约  漏洞  闪电贷  重入攻击  安全 

Damn Vulnerable DeFi 解决方案——#5. The Rewarder 漏洞

本文分析了Damn Vulnerable DeFi V4第5题The Rewarder中的漏洞。该漏洞存在于claimRewards()函数中,由于合约在处理完所有claims后才标记为已领取,攻击者可以通过提交多个相同Merkle proof的claim,多次领取奖励,从而耗尽合约中的token。文章还提供了防止此漏洞的机制。
智能合约安全  重入攻击  Merkle Proof  漏洞分析  Damn Vulnerable DeFi 

Cyfrin 2025年5月区块链安全和教育新闻通讯

Cyfrin发布了五月份的区块链安全和教育新闻,内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外,还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程,以及CodeHawks成功案例。最后,文章还讨论了高调黑客攻击和安全事件,并给出了行业新闻和建议。
智能合约安全  web3安全  区块链安全  漏洞  攻击  审计 
  • Cyfrin
  • 发布于 2025-05-08
  • 阅读 ( 764 )
  • ( 7 )

如何使用 MistTrack 查找恶意地址

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址,以检测恶意地址。
MistTrack  QuickNode  AML  恶意地址  风险评分  地址标签  反洗钱 
  • QuickNode
  • 发布于 2025-05-07
  • 阅读 ( 842 )
  • ( 26 )

Damn Vulnerable DeFi 解决方案——#1. Unstoppable

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战,该挑战通过操纵会计系统实现拒绝服务攻击。
ERC4626  拒绝服务  DoS  闪贷  不变量  漏洞分析 

共识与区块链:Web3的经济安全性 – ImmuneBytes

本文深入探讨了区块链共识机制及其安全性影响,讨论了工作量证明(PoW)、权益证明(PoS)及其变种、拜占庭容错(BFT)等机制的优缺点和安全风险,并通过案例研究分析了以太坊经典、Solana和Avalanche等区块链网络中出现的共识失败事件,最后展望了未来Web3安全共识的发展方向。
共识机制  区块链安全  工作量证明  权益证明  拜占庭容错  web3安全 

【安全月报】| 4月份因黑客攻击、诈骗等导致损失约3.57亿美元

4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元,其中绝大多数(3.18亿美元)与网络钓鱼攻击有关。
黑客攻击  网络钓鱼  web3安全  加密货币 

Web3审计:不仅仅是寻找漏洞 – ImmuneBytes

文章讨论了Web3安全审计的重要性,强调了智能合约审计在防止黑客攻击和漏洞利用方面的关键作用。文章还探讨了审计师的角色,有效的审计流程,以及未来审计在安全设计咨询、实时监控、形式化验证和安全教育等领域的发展方向。
Web3  安全审计  智能合约  漏洞  代码安全  形式化验证 

我们正在使用遗留系统!

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件,揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。
Active Directory  NTDS.dit  漏洞  渗透  勒索软件  多因素认证 

揭示GameFi安全性:常见威胁和可靠解决方案

本文深入分析了GameFi领域面临的安全挑战,包括智能合约漏洞、token和NFT的风险以及跨链桥的漏洞,还讨论了链下安全问题,如基础设施漏洞和钓鱼攻击。文章提供了开发者和玩家可采取的缓解策略,并展望了GameFi安全性的未来,强调了AI驱动的安全、改进的代币经济模型和监管的重要性。
GameFi  区块链安全  智能合约  NFT  跨链桥  安全漏洞 

Solodit检查清单详解:矿工攻击

本文解释了矿工攻击,即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型:使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击,文章都提供了示例代码、漏洞解释、缓解措施以及测试用例,旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。
矿工攻击  block.timestamp  随机数生成  交易排序  前置交易  三明治攻击  MEV 
  • Cyfrin
  • 发布于 2025-05-02
  • 阅读 ( 669 )
  • ( 18 )

可扩展的`Safe`架构

本文档描述了一种可扩展的Safe架构,旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现,允许自定义方法调用和EIP-712签名验证,同时保持与现有Safe功能的向后兼容性,例如ERC-1271签名和Token回调,从而扩展Safe的功能,并允许更灵活的交互方式。
SafeProxy  ExtensibleFallbackHandler  EIP-712  代理合约  智能合约  签名验证 

Solana安全事件历史:深入研究

本文详细分析了2020年至2025年4月Solana生态系统中发生的主要安全事件,包括应用层漏洞、供应链攻击和核心协议问题。
Solana  漏洞  攻击  DeFi  安全事件  区块链安全 

使用加密密钥在 Hardhat 和 Foundry 中保护你的私钥

本文介绍了在智能合约开发中使用加密密钥的重要性,并提供了在 Hardhat 和 Foundry 框架中实现加密密钥的详细步骤。文章强调了明文存储密钥的风险,并提供了使用 AES 等加密技术保护密钥的方法,同时推荐了密钥管理和安全开发的最佳实践。
加密密钥  Hardhat  Foundry  智能合约  密钥管理  安全开发 
  • QuickNode
  • 发布于 2025-04-30
  • 阅读 ( 916 )
  • ( 43 )

揭露多重签名诈骗:加密货币安全入门指南

本文深入探讨了加密货币中多重签名(multisig)钱包的安全问题,揭示了诈骗者如何利用多重签名钱包的机制进行欺诈,包括交易费用陷阱、网络钓鱼、虚假多重签名服务等,并提供了防范多重签名诈骗的实用方法,强调了安全私钥、使用可信软件、定期审计钱包权限的重要性。文章还通过实例展示了如何在以太坊上创建多重签名钱包,并提供了应对诈骗的建议
多重签名钱包  Multisig钱包  加密货币安全  Tron网络  智能合约安全  区块链安全 

Zora空投漏洞利用:深入研究12.8万美元的申领合约攻击

Zora的NFT空投系统中的一个漏洞允许攻击者通过利用薄弱的声明检查来窃取代币。攻击者利用0x Settler合约的basicSellToPool功能,使得ZoraTokenCommunityClaim合约将0x的ZORA代币分配转移到了攻击者的地址。这次攻击暴露了智能合约设计中安全性的重要性,并强调了严格的访问控制的必要性。
智能合约  漏洞  攻击  以太坊  空投  权限控制 

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中提供的各种实用工具,包括密码学(签名验证,包括ECDSA、P256和RSA)、Merkle证明验证、接口自省(ERC-165)、数学运算、数据结构(如BitMaps、EnumerableSet、MerkleTree等)、数据打包、底层存储槽操作(StorageSlot)、Base64编码以及多重调用(Multicall)等功能。
ECDSA  P256  RSA  Merkle证明  ERC-165  多重调用  StorageSlot 

预编译对齐错误:根本原因分析 - Anza

Agave的ed25519和secp256r1预编译程序中存在一个bug,该bug在新版v2.2引入的`--transaction-structure view`选项的验证器中被暴露。
Ed25519  secp256r1  预编译程序  交易结构体  Agave  漏洞 
  • Anza
  • 发布于 2025-04-25
  • 阅读 ( 546 )
  • ( 14 )