全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

完美十分!React2Shell

in  攻防与案例
React2Shell漏洞(CVE-2025-55182)允许未经身份验证的远程代码执行,CVSS评分为10分。受影响的版本包括React 19.0到19.2.0以及Next.js 15和16。Lachlan Davidson发现了这个漏洞,并提供了三个PoC。AWS检测到利用此漏洞的探测活动,建议立即进行补丁。
react  React2Shell  CVE-2025-55182  远程代码执行  漏洞  安全补丁 

BlockThreat - 2025 年第 47 周

DeFi 生态系统遭受多起攻击,总损失近 400 万美元,GANA 因私钥泄露损失超过 300 万美元,Aerodrome/Velodrome 遭受 DNS 劫持攻击,损失约 70 万美元。文章还讨论了第三方基础设施风险,Cloudflare 宕机暴露了互联网的脆弱性。此外,文章还介绍了 DeFi 安全峰会的内容,并提出了竞争性事件响应的概念,以及提供了一些安全工具和研究。
DeFi安全  漏洞  攻击  事件响应  智能合约  安全工具 

区块威胁 - 2025年第46周

本周加密货币领域相对平静,主要关注了三个漏洞,导致损失65.7万美元。内容涵盖了卡尔达诺巨鲸交易失误、X登录故障、区块链冻结能力调查、AI驱动的网络间谍活动。此外,还涉及比特币盗窃案、美国制裁朝鲜加密货币洗钱网络、以及针对加密货币开发者的网络钓鱼活动,并分析了恶意NPM包和虚假Chrome扩展程序的威胁。
漏洞  加密货币  网络安全  钓鱼  恶意软件  区块链 

你对舍入误差的思考是错误的

本文介绍了智能合约中常见的舍入误差问题,特别是在 Solidity 等不支持浮点数的语言中。文章讨论了精度损失、不正确的舍入方向以及舍入为零等问题,强调了在智能合约开发中需要特别注意除法运算,以避免潜在的安全漏洞和价值损失。同时,作者建议开发者在进行除法运算时,应始终考虑舍入方向以及舍入为零的可能性,并推荐了一些有用的文章和视频资源。
舍入误差  智能合约  Solidity  精度损失  安全漏洞  除法运算 

Balancer v2 攻击:通过精度损失进行价格操纵

in  攻击事件解析 2025
11月3日,BalancerV2的池子在多条链上被攻击,造成了1.2亿美元的损失。我来分析下攻击原理
智能合约  Balancer V2  精度损失  价格操纵  攻击事件 
  • 黑梨888
  • 发布于 2025-12-05
  • 阅读 ( 542 )
  • ( 19 )

警惕 Solana 钓鱼攻击:钱包 Owner 权限可能被篡改

in  攻防与案例
本文分析了一起 Solana 钱包遭受钓鱼攻击的案例,攻击者通过诱骗用户签署包含修改账户 Owner 权限的交易,从而完全控制了受害者钱包,转移了超过 300 万美元的资产。文章详细解析了 Solana 账户 Owner 修改机制,并对攻击者的资金转移路径进行了追踪分析,最后给出了预防此类攻击的安全建议。
Solana  钓鱼攻击  Owner权限  MistTrack  区块链安全  多重签名 
  • slowmist
  • 发布于 2025-12-05
  • 阅读 ( 438 )
  • ( 23 )

美国、英国和澳大利亚联合打击俄罗斯网络犯罪基础设施……

美国、英国和澳大利亚联合制裁俄罗斯网络犯罪基础设施,包括 Media Land 和 Aeza Group 等“防弹主机”服务商及其相关个人和实体,原因是它们为勒索软件攻击和其他恶意网络活动提供支持。这些制裁旨在打击网络犯罪,并保护国家安全、经济健康和金融稳定。
防弹主机  网络犯罪  勒索软件  制裁  Media Land  Aeza Group 
  • slowmist
  • 发布于 2025-12-02
  • 阅读 ( 280 )
  • ( 13 )

【安全月报】| 11 月加密货币攻击与诈骗损失合计超 1.724 亿美元

2025 年 11 月加密领域共发 53 起安全事件,损失 1.724 亿美元。钓鱼诈骗占比最高,黑客攻击与 Rug Pull 频发,含 Upbit 被盗、Port3 合约漏洞等事件,现技术诈骗与物理抢劫结合新趋势,跨链、合约漏洞及仿盘项目为主要风险点。

十三部门加码虚拟货币监管,筑牢区块链安全防线

2025 年 11 月 28 日,央行牵头 13 部门开虚拟货币监管会。明确虚拟货币(含稳定币)属非法金融活动,存洗钱、跨境资金转移等风险,指出近期违法犯罪增多,要求持续打击、深化协同,聚焦信息流资金流监测,护民众财产与经济秩序。
区块链安全  加密货币 

韩国最大交易所 Upbit 遇袭,资产遭窃!

in  攻击事件解析 2025
韩国Upbit交易所遭黑客攻击,Solana链上热钱包损失约540亿韩元。初步分析指向私钥泄露导致权限失守。这已是Upbit六年来第二次重大安全漏洞,再次暴露了加密货币交易所面临持续的安全威胁。
黑客攻击  加密货币  交易所 

链上追溯匿名控制的屏蔽池

本文介绍了一种新的机制,称为追溯匿名控制(RAC),用于防止不良行为者滥用基于屏蔽池的隐私系统。RAC允许合规控制实体追溯取消匿名任何存款或取款,通过链上请求透明地进行,并将生成的view_key发布在链上。与现有解决方案PoI相比,RAC在打击不良行为者方面更有效,但复杂性更高,需要新的安全和信任假设。
追溯匿名控制  屏蔽池  隐私  以太坊  零知识证明  合规性 

Balancer稳定币交换分析与差分模糊测试指南

本文介绍了如何使用Python进行差分模糊测试,以发现高精度计算和Solidity实现之间的差异。通过将Python的高精度计算结果与Solidity的计算结果进行比较,帮助开发者验证智能合约中交换函数的数学计算是否正确,以及合约是否能准确转移计算出的数量。同时强调了手动引导模糊测试(MGF)在发现细微bug中的作用。
模糊测试  Solidity  Python  智能合约  差分模糊测试  StableSwap 
  • Ackee
  • 发布于 2025-11-28
  • 阅读 ( 598 )
  • ( 23 )

区块链桥安全 - 第3部分

in  区块链桥安全
本文是桥安全系列文章的第三篇,介绍了由于桥合约允许任意调用其他合约而导致的任意调用执行漏洞。文章通过两个具体的PoC示例,展示了攻击者如何利用该漏洞窃取以太币或欺骗铸币逻辑,在源链不销毁token的情况下,在目标链mint token。文章最后提出了避免此类漏洞的建议,例如限制调用到可信地址,并检查可信地址是否存在漏洞。
跨链桥  漏洞  任意调用执行  以太坊  智能合约  重放攻击 

安全 - 目录

该文档介绍了一个用于检测智能合约漏洞、确保符合相关标准以及提供编写不变性指南的属性库,该库包含了针对ERC20、ERC721、ERC4626和ABDKMath64x64等类型的token和库的168个代码属性,并提供了使用Echidna或Medusa进行模糊测试的步骤和配置示例,以及辅助函数和HEVM作弊码的支持。
智能合约  模糊测试  Echidna  Medusa  ERC20  ERC721  ERC4626  ABDKMath64x64  安全漏洞  属性测试 
  • crytic
  • 发布于 2025-11-27
  • 阅读 ( 11 )

零时科技 || Port3 攻击事件分析

in  攻击事件解析 2025
11 月 23 日,BNB Smart Chain 上 Port3 项目遭攻击。因合约部署未设 owner,攻击者可伪造跨链交易大量增发代币,致其价格归零。建议项目方多方验证代码逻辑,合约上线前由多家审计公司交叉审计。
黑客攻击  区块链安全  攻击事件 

安全 - 说明

MSMT发布报告揭示朝鲜通过网络活动、IT人员和加密货币活动规避联合国制裁,窃取敏感技术并筹集资金。报告指出,朝鲜网络能力接近网络强国水平,2024年至今已窃取数十亿美元加密货币,并通过海外IT人员在全球范围内获取敏感技术,其全球制裁规避网络不断扩大,Web3行业需要加强网络安全态势,防范其综合行动。
朝鲜  网络安全  加密货币  制裁  网络攻击  洗钱 
  • slowmist
  • 发布于 2025-11-26
  • 阅读 ( 452 )
  • ( 26 )

区块链桥安全 - 第二部分

in  区块链桥安全
本文是桥安全系列的第二篇文章,主要讲解了跨链签名重放漏洞及其变种。文章通过实例分析了由于缺少对`srcChainId`的验证,导致签名可以在不同的链上重放,从而使攻击者能够获取额外的代币。此外,文章还讨论了当合约升级或更新时,如果域名分隔符(如名称、版本、验证合约地址)发生变化,可能导致签名重放漏洞的出现。
跨链桥  签名重放  漏洞  EIP712  域名分隔符  智能合约 

常见的糟糕 OpSec 实践

本文探讨了运营安全(OpSec)的重要性,通过分析John McAfee、Ross Ulbricht等历史案例,以及Prigozhin和Roman Novak的悲剧,强调了不良OpSec实践可能导致的严重后果,例如信息泄露、财产损失甚至人身安全威胁,文章还提供了增强自身OpSec的具体建议,如照片元数据清理、使用假名、启用双因素认证等。
运营安全  OpSec  信息安全  隐私保护  加密货币  安全漏洞 

威胁情报:NOFX AI 自动交易漏洞分析

in  攻击事件解析 2025
NOFX AI 是一个开源的加密货币期货自动交易系统,存在安全漏洞。旧版本存在“零认证”漏洞,新版本虽然需要JWT,但默认密钥是硬编码的,攻击者可以利用该密钥获取交易所API密钥和私钥。SlowMist安全团队与Binance和OKX合作,已通知受影响用户并撤销了密钥。
安全漏洞  API密钥  JWT  零认证  加密货币  自动交易 
  • slowmist
  • 发布于 2025-11-18
  • 阅读 ( 656 )
  • ( 26 )

BlockThreat - 2025年第45周

本周加密领域发生了多起安全事件,包括 Balancer 被盗 1.32 亿美元,Stream Finance 因损失 9300 万美元导致 DeFi 市场出现连锁反应。此外,还关注了 MIT 兄弟利用 MEV 漏洞的案件审判,以及朝鲜 IT 工作者相关的网络犯罪活动,并介绍了多个安全研究和工具。
智能合约漏洞  MEV  网络犯罪  Balancer  Stream Finance  朝鲜IT工作者