全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

FCHAIN验证者和质押合约审计

本文对F Foundation的FCHAIN智能合约进行了审计,重点分析了其验证者注册和质押机制,揭示了一些关键的安全漏洞和优化建议。本文还详细描述了相关的重大问题和审计过程中的信任假设,建议F Foundation团队关注Ava Labs的最新进展,以便及时调整和改进其合约代码。
智能合约  区块链  审计  质押机制  安全模型  合约开发 

ZKsync 协议预编译实现审计

本文对以太坊 zkEVM 上的预编译操作进行了审核,涵盖了 ModExp、ECAdd、ECMul 和 ECPairing 操作及其对应的零知识电路构造。审查重点在于算法实现的正确性、输入验证、边界条件处理以及计算逻辑向电路约束的正确转换。虽然发现了一些优化和最佳实践方面的问题,但总体而言,代码库展现了对安全问题的良好关注。
预编译  zkEVM  ModExp  ECAdd  安全审核  零知识电路 

Safe 智能合约账户的安全操作指南 - 第 2 部分

本文探讨了高价值Safe智能账户的安全操作指南,包括推荐的安全配置、签名过程以及人员培训等方面。文中强调了针对特定攻击的多种预防措施和安全策略,以确保高价值安全账户的有效操作和减少人为失误的风险。
Ethereum  安全操作  Smart Account  多签名  硬件钱包  DPRK攻击 
  • Bazzani
  • 发布于 2025-04-11
  • 阅读 ( 344 )
  • ( 24 )

OpenZeppelin Relayers和Monitor现已开源

本文介绍了OpenZeppelin最新发布的开源Relayers和Monitor工具,旨在为区块链开发者提供更高的自定义和灵活性。Relayers支持各种自动化交易需求,而Monitor则用于实时监控区块链活动,两者均有助于提高开发效率。文章还讨论了这些工具在Solana和Stellar网络的应用,并鼓励开发者参与反馈和建议。
开源工具  区块链开发  自动化交易  实时监控  Solana  Stellar 

Solodit 检查清单解析:拒绝服务攻击 第2部分

本文继续讨论了Solodit智能合约检查清单,重点介绍了如何防止拒绝服务(DoS)攻击,分析了队列处理漏洞、低精度代币的挑战以及如何安全处理外部调用的重要性。通过实例说明了每种漏洞的潜在风险及对应的解决方案,以提高智能合约的安全性和抵御能力。
智能合约  拒绝服务攻击  安全性  队列处理  外部调用 
  • cyfrin
  • 发布于 2025-04-09
  • 阅读 ( 414 )
  • ( 31 )

Solodit 检查表解析:捐赠攻击

本文深入探讨了“捐赠攻击”在智能合约中的危害,并强调了内置会计方法的重要性以增强安全性。作者通过具体示例和代码展示了如何通过恶意捐赠来操纵合约状态,导致资产的失衡,并建议使用内部会计而非外部函数来维护资金的准确性和安全性。
智能合约  捐赠攻击  内置会计  ERC-4626  代币平衡  安全性 
  • cyfrin
  • 发布于 2025-04-09
  • 阅读 ( 230 )
  • ( 9 )

Solodit检查清单详解:系列前言

本文介绍了Solodit Checklist,一个帮助开发者构建安全智能合约的实用工具。作者强调了理解智能合约安全的重要性,并提供了通过该检查清单进行深入学习和实践的方法,以避免潜在漏洞和安全风险。
智能合约  安全性  Solidity  区块链  DeFi  漏洞 
  • cyfrin
  • 发布于 2025-04-08
  • 阅读 ( 340 )
  • ( 14 )

Solana 保密余额扩展 - 钱包集成指南

本文介绍了一种基于ElGamal和AES加密的双重密钥加密方案,用于保护钱包中的机密转账和余额信息。详细阐述了密钥衍生过程、签名生成、与安全性相关的考虑,并描述了加密方案在交易中的实际应用,如机密转账和余额解密等。
加密  ElGamal  AES  钱包  机密转账  密钥衍生 

硬件钱包安全:必须检查硬件设备显示的内容

本文章深入探讨了硬件钱包在交易签名中的安全性,并强调用户在签署任何信息或交易时必须仔细验证显示的关键信息。通过理解EIP-712标准和校验数据,用户能够有效避免诈骗和安全漏洞,保障数字资产安全。
硬件钱包  交易签名  EIP-712  安全验证  数字资产  校验 
  • cyfrin
  • 发布于 2025-04-03
  • 阅读 ( 471 )
  • ( 48 )

合约级别合规的问题

文章讨论了合约级别合规(CLC)对绝对抗女巫身份数据的需求,以及目前对单一数据提供商Everest的依赖所带来的风险。文章提出了通过建立绝对抗女巫(ASR)网络和合规注册机构来分散风险的设想,并探讨了该方法可能存在的问题,强调了实现共识性ASR的重要性,并提出了可能的实现路径,例如通过Everest的现有基础设施或使用模糊提取器技术。
合约级别合规  绝对抗女巫  Sybil攻击  KYC  去中心化  身份验证 

合约级合规的身份数据要求

本文探讨了公链上公开智能合约合规身份数据(Contract Level Compliance, CLC)的需求,强调了绝对抗女巫攻击、持牌供应商和Chainlink三个关键要素。绝对抗女巫攻击需要生物识别技术以确保唯一身份,持牌供应商提供符合监管要求的KYC数据,Chainlink则保证数据上链的安全性和去中心化,这三者共同确保CLC系统的完整性,并促进智能合约在受监管行业中的更广泛应用。
KYC  AML  Chainlink  智能合约  合规性  身份验证 

OpenZeppelin:安全高效智能合约的秘密武器

本文介绍了OpenZeppelin,一个为以太坊和其他区块链平台提供安全、可重用智能合约库的公司和开源平台。文章概述了OpenZeppelin提供的关键产品和服务,并展示了如何通过npm安装OpenZeppelin,以及如何使用OpenZeppelin的ERC20代币合约。
OpenZeppelin  智能合约  以太坊  ERC20  npm  Solidity语言 

【安全月报】| 3月因加密货币漏洞和诈骗造成损失达3,871万美元

3月发生 20次 加密货币黑客攻击,被盗资金超过 3871万 美元。代码漏洞导致的损失最多,超过1,400万美元;钱包被入侵导致超过800万美元被盗。
安全月报  黑客攻击  漏洞攻击 

揭示朝鲜黑客威胁的真相

本文详细介绍了朝鲜黑客在加密货币行业的活动,包括针对Bybit交易所的黑客攻击,以及与多个北朝鲜黑客组织(如Lazarus Group、APT38等)的关联。文章探讨了这些组织的架构、攻击手法和发展演变,并提供了企业和个人防范这些攻击的建议。
北朝鲜  黑客  加密货币  Lazarus Group  APT38  安全防护 
  • Paradigm
  • 发布于 2025-04-01
  • 阅读 ( 639 )
  • ( 31 )

PCI DSS v4 加强网络安全

文章讨论了PCI DSS v4版本对于加强网络安全的意义,特别是在加密方面的改进。新版本要求对存储的账户数据进行更严格的保护,并强调在传输和存储过程中使用强加密。此外,文章还提到了代替加密的其他方法,如截断、掩蔽和哈希,并强调了使用keyed-hashed(如HMAC)的重要性以增强安全性。
PCI DSS v4  加密  网络安全  数据安全  支付卡行业数据安全标准  HMAC 

慢雾:深入探讨 EIP-7702 与最佳实践

作者:Kong编辑:Sherry前言以太坊即将迎来Pectra升级,这无疑是一次意义重大的更新,众多重要的以太坊改进提案将借此契机被引入。其中,EIP-7702对以太坊外部账户(EOA)进行了变革性的改造。该提案模糊了EOA与合约账户CA之间的界限,是继EIP-4337之后
EIP-7702 

RISC Zero的ZK-VM安全性:Veridise如何帮助RISC Zero实现可证明和持续的零知识验证…

本文介绍了Veridise与RISC Zero在zkVM安全方面的合作,强调通过自动化零知识验证工具Picus实现持续的安全验证,确保RISC Zero开发的zkVM具备正式的安全保证。文中详细描述了三种关键漏洞及其修复方法,展现了如何通过深度合作提高零知识系统的安全标准。
zkVM  RISC-V  零知识证明  安全审计  自动化验证  形式化方法 
  • Veridise
  • 发布于 2025-03-27
  • 阅读 ( 262 )
  • ( 21 )

WisdomTree Digital 白名单上下文审计

本文对WisdomTree Digital团队的白名单合规Oracle系统的全面审计,旨在识别潜在的漏洞和验证其遵循最佳实践的情况。审计过程中发现了20个问题,提出了许多改善建议,特别是在访问控制的粒度、代码可读性及审核合约的安全性方面。七个低严重性问题的提出使得系统在合规性和功能性上得到了增强。
白名单  审计  ERC-721  智能合约  安全性  访问控制 

智能合约安全审计入门:将不同合约部署到同一地址

本文分析了一种利用CREATECREATE2操作码在不同时间将不同合约部署到同一地址的攻击技术,并提供了相应的防御策略。
智能合约安全  CREATE  CREATE2  selfdestruct  delegatecall  代码哈希 
  • slowmist
  • 发布于 2025-03-22
  • 阅读 ( 118 )
  • ( 4 )

2022年9月23日 RADT-DAO(TWN) 攻击事件分析与复现

2022-09-23,DeFi警报|Blocksec的监控系统报告了一笔针对RADT-DAO(TWN)代币的抢先交易,损失约为94,304.58USDT,这导致RADT-DAO代币的价格下跌了81.97%,本文针对此安全事件进行介绍、分析和复现。