全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

竞争性审计与私有审计:优缺点分析

这篇文章深入探讨了竞争性和私密性智能合约审计的优缺点,并提供了选择合适审计类型的指导。文章强调审计的重要性,结合市场变化和安全需求,提出应根据公司需求和开发阶段选用竞争性或私密性审计,甚至是两者兼顾。同时,作者分析了审计成本和历史数据,提供了具体实例以帮助决策。
智能合约  审计  私密审计  竞争审计  DeFi  安全性 
  • Cyfrin
  • 发布于 2025-03-07
  • 阅读 ( 1078 )
  • ( 10 )

架构指南 - OpenZeppelin 文档

本文档描述了OpenZeppelin Monitor的高级架构,包括核心组件、组件交互和整体系统设计。它提供了关于服务如何处理区块链数据并根据可配置的条件触发通知的技术概述,系统被组织为一个数据处理管道,从区块链数据收集到通知传递。该系统遵循模块化架构,为监控过程中的每个步骤设计了不同的组件,以实现可扩展性。
OpenZeppelin Monitor  区块链监控  架构设计  数据处理管道  通知服务  区块链数据 

颠覆Web3中的Web2认证

本文分析了Web3应用中Web2认证集成时存在的安全风险。作者通过案例研究,揭示了OAuth逻辑漏洞、Supabase元数据配置错误以及在localhost环境下滥用OAuth等问题,强调了在Web3应用中采用安全可靠的认证方式的重要性,需要开发者采用更强大的身份验证流程,以弥合Web2框架和Web3生态系统之间的差距。
Web3  Web2  身份验证  OAuth  Supabase  安全漏洞 
  • osecio
  • 发布于 2025-03-07
  • 阅读 ( 964 )

基于AWS可信任执行环境TEE的应用分析

可信执行环境(TrustedExecutionEnvironment,TEE)是一种安全隔离的执行环境,能够保护数据、代码和计算过程免受恶意软件或未授权访问的影响。
AWS  TEE 

如何从突发故障中恢复你的浏览器钱包扩展程序?

本文主要讨论了杀毒软件误报加密货币钱包扩展程序为恶意软件的问题,并提供了详细的恢复步骤,包括从隔离区恢复文件、备份和定位本地扩展数据、覆盖本地扩展目录以及手动解密私钥数据等方法。此外,文章还介绍了如何编写自定义恢复工具以及如何预防此类问题发生,强调用户应定期备份重要文件,手动添加信任规则,并从官方渠道下载软件。
杀毒软件  误报  加密货币钱包  扩展程序  私钥  数据恢复  安全 

多签的正确使用方式

本文详尽探讨了如何实施多重签名(multisig)安全的最佳实践,以保护区块链协议免受潜在的攻击。通过分析不同风险类别及相应的签名阈值,文章提供了一种系统的框架,建议使用多种合约(如Gnosis Safes,RolesAuthority和TimelockController)来增强安全性,并提出具体的实施建议。最终,文章强调了协议团队在管理多重签名时需要注意的良好做法和其他安全考虑。
multisig  安全性  风险管理  Timelock  Gnosis Safe  RolesAuthority 
  • Recon
  • 发布于 2025-03-06
  • 阅读 ( 2461 )
  • ( 116 )

Bybit 14 亿美元盗窃案:黑客如何利用 Safe 基础设施实施攻击

这篇文章详细分析了Bybit交易所创下的14亿美元黑客事件,揭示了Safe基础设施被攻击的过程。文章通过提供攻击细节、技术分析以及安全建议,强调了多签名钱包在安全验证中的重要性,以及在面对精明的攻击者时保持高标准的操作安全(OpSec)的必要性。
黑客  多签名  安全分析  Bybit  Safe  操作安全 
  • Cyfrin
  • 发布于 2025-03-05
  • 阅读 ( 1893 )
  • ( 11 )

安全 - 持续性TRAIL

本文档介绍了如何在软件开发生命周期(SDLC)中持续维护和更新威胁模型,以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型,包括确定需要更新的关键组件、新增风险的跟踪,以及如何将威胁模型集成到SDLC的各个阶段,从而创建一个威胁和风险分析信息生命周期TRAIL。
威胁建模  软件开发生命周期  安全风险  安全控制  威胁分析  风险评估 

十大智能合约审计公司与服务

本文介绍了十大智能合约审计公司及其服务,详细说明了智能合约审计的重要性,以及如何选择适合的审计服务。文章涵盖了不同公司提供的技术和专业知识,体现了在区块链项目中进行审计的必要性和益处。
智能合约审计  区块链安全  DeFi  审计公司  漏洞检测  技术评估 
  • Cyfrin
  • 发布于 2025-03-04
  • 阅读 ( 4292 )
  • ( 36 )

【安全月报】| 2月份因漏洞、黑客和诈骗造成的损失约为 17.82 亿美元

2月安全事件总损失约16.81亿美元,其中发生20次加密货币黑客攻击,造成约15.1亿美元的损失,有5,245万美元得到冻结或返还。

Socket事件报告,1月16日

Socket 在 2024 年 1 月 16 日遭遇安全事件,攻击者利用 Socket Aggregator 系统中新模块的漏洞,从已授权无限额度的用户处盗取了约 330 万美元的资金,包括 USDC、USDT、DAI、WETH、WBTC 和 MATIC 等代币。团队迅速响应,暂停了受影响的模块,并与安全团队合作尝试追回资金。目前正在积极联系受影响的用户,并制定安全加强计划。
漏洞  攻击  资金盗取  安全事件  以太坊  合约 

访问控制 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中用于访问控制的多种合约和接口。这些工具可以限制谁可以访问合约的功能以及何时可以访问。其中包括简单的Ownable合约,以及更复杂的AccessControl和AccessManager合约,它们提供了基于角色和权限的细粒度控制。
访问控制  权限管理  ownable  AccessControl  AccessManager  角色 

Bybit事件技术分析

in  Web3.0安全开发实践
事件概述2025年2月21日UTC时间下午02:16:11,Bybit的以太坊冷钱包(0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4)因恶意合约升级遭到资金盗取。
  • CertiK
  • 发布于 2025-03-02
  • 阅读 ( 4368 )
  • ( 25 )

Bybit被盗事件深度解析

文章阐述 Safe{Wallet}的签名过程以及替换 JavaScript 完成攻击的过程。
Safe  Bybit 
  • BlockSec
  • 发布于 2025-03-01
  • 阅读 ( 2676 )
  • ( 2 )

你应该使用哪个模糊测试器?

文章作者创建了一个流程图,用于指导读者选择合适的模糊测试工具。作者推荐针对有状态模糊测试,默认使用Echidna和Medusa;针对无状态模糊测试,选择Foundry。同时还讨论了Slither在模糊测试中的作用,以及ffi和链上模糊测试的工具选择。
模糊测试  Echidna  Medusa  Foundry  Slither  智能合约安全 

苹果公司在安全方面退步

文章讨论了苹果公司在英国政府的压力下,放弃为英国用户提供高级数据保护(Advanced Data Protection)服务,该服务旨在通过加密保护用户存储在iCloud上的数据,使其无法被苹果公司访问。文章回顾了密码学的发展历程,强调了端到端加密的重要性,并表达了对苹果公司在隐私保护方面退步的失望,以及对未来更灵活的公司提供增强安全性和隐私保护的期望。
端到端加密  数据保护  密码学  隐私  苹果  iCloud 

以Trail of Bits方式进行威胁建模

本文介绍了TRAIL,一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响,通过识别架构层面的风险并提供短期和长期缓解方案,使客户能够随着系统变化自主更新威胁模型,同时还阐述了TRAIL的工作原理,以及轻量级和综合性威胁模型的产出。
威胁建模  风险分析  TRAIL  安全控制  威胁场景  安全审查 

Bybit 近 15 亿美金被盗真相 :Safe{Wallet} 前端代码被篡改

Bybit 近 15 亿美金被盗真相 :Safe{Wallet} 前端代码被篡改
Bybit  Safe  多签钱包 

只读重入攻击

本文介绍了只读重入漏洞的原理、攻击方式和防御方法。该漏洞利用 view 函数在状态改变过程中的返回值,通过重入操纵智能合约并提取价值。文章通过示例合约展示了漏洞的利用方式,并提供了使用 ReentrancyGuard 和 CEI(checks-effects-interactions)模式的防御措施。
只读重入  重入攻击  智能合约安全  以太坊  ReentrancyGuard  CEI模式 
  • Ackee
  • 发布于 2025-02-28
  • 阅读 ( 727 )

Bitfinding - 告别盲签:Web3语义第二因素介绍

文章提出了Web3语义第二因素(SSF)的概念,旨在解决由于设备被入侵和硬件钱包的局限性导致的用户被欺骗签名的问题。SSF通过独立的设备对交易或消息进行二次验证,模拟执行并提供风险分析,确保用户的真实意图与签名内容一致,从而增强安全性,类似于2FA在密码安全中的作用。
Web3  语义第二因素  安全  硬件钱包  盲签名  交易模拟