全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

如何应对 npm 依赖供应链攻击的风险

文章分析了 npm 依赖供应链攻击的风险,指出攻击者可以通过篡改深层依赖项来影响用户,尤其是在 Web3 领域,前端直接处理交易签名,风险更高。文章建议通过减少依赖、自建核心模块、使用 IPFS CID 验证构建产物等方法来降低风险。
npm  依赖供应链攻击  Web3  IPFS  安全  漏洞 

用于跨链消息传递系统的 AI 驱动的联盟证明证明 - 第 2 部分

本文介绍了CORE Pipeline,这是一个用于确保跨链消息传递系统安全的系统。该pipeline通过生成场景、进行稳健性可行性分析、进行参数优化以及进行统计认证四个阶段,来保证在各种情况下,攻击者无法通过贿赂节点来伪造消息,并提供一个可验证的证书来证明系统的安全性。
跨链消息传递  安全  联盟优化  稳健型启发  参数优化  统计认证 
  • thogiti
  • 发布于 2025-09-20
  • 阅读 ( 1936 )
  • ( 164 )

发现智能合约漏洞的方法(审计:第二部分)

本文是智能合约审计系列文章的第二部分,主要讨论了如何发现智能合约中的漏洞。文章首先定义了智能合约中的bug类型,然后详细介绍了在理解代码的过程中以及如何通过测试假设来发现潜在的漏洞,并强调了采用攻击者思维模式的重要性,通过不断提问和探索各种可能性来进一步挖掘潜在的漏洞。文章还提到审计是一个不断学习和改进的过程,即使失败也能提供宝贵的经验。
智能合约  审计  漏洞  重入攻击  拒绝服务  安全 

Zealynx 是谁?为什么 DeFi 团队选择我们顶级的智能合约审计

Zealynx 是一家位于波兰的区块链安全公司,由安全专家 Carlos 领导,为 DeFi 和 Web3 团队提供智能合约审计和区块链安全解决方案。Zealynx 的核心服务包括 Solidity、Rust、Cairo、Sway 和 Solana 智能合约审计,以及渗透测试和 Web3 钱包安全等服务,并为 Lido Finance 等知名项目提供服务。
智能合约审计  区块链安全  Solidity  Rust  渗透测试  Web3 
  • zealynx
  • 发布于 2025-09-19
  • 阅读 ( 113 )

跨链桥安全:跨链攻击智能合约安全指南

本文深入探讨了跨链桥的工作原理、常见漏洞以及安全注意事项。跨链桥作为连接不同区块链的关键基础设施,面临着巨大的安全挑战,包括验证器私钥泄露、智能合约逻辑错误和输入验证不当等。文章还通过实例代码和安全建议,强调了独立审计、去中心化验证、实时监控和强大的密钥管理的重要性,旨在构建更安全的跨链生态系统。
跨链桥  智能合约  安全漏洞  去中心化  密钥管理  验证器 

跨链消息传递系统的抗联盟证明 第一部分

本文深入探讨了LayerZero、CCIP和Across等跨链桥的安全经济学,提出了一个包含联盟、相关性和机制的框架,用于评估和提高桥的安全性。核心观点是桥的安全性取决于打破它所需的最廉价的相关联盟,因此需要购买独立性、支付检测费用和投资未来,使作弊在经济上不可行。
跨链桥  LayerZero  CCIP  经济安全  联盟  相关性  机制设计 
  • thogiti
  • 发布于 2025-09-16
  • 阅读 ( 1860 )
  • ( 143 )

Sui Move如何重新思考闪电贷安全性

本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
闪电贷  Sui  Move语言  DeepBookV3  热土豆模型  可编程交易块 

【引介】Canon Guard - 更安全的使用 Safe 多签

本文介绍了Canon Guard,一种用于多重签名(Multisig)交易的更安全执行模型。它通过引入Action合约来封装交易逻辑,并结合时间锁和自定义Safe Guard合约来增强安全性,旨在减少重复审批、防止恶意攻击,并实现完全链上的透明度和可模拟性。
多重签名  multisig  安全  智能合约  时间锁  链上治理 

ZKPassport:我们现在在哪里?

本文探讨了在生物护照上使用零知识证明来恢复 Safe 账户的方法,无需暴露个人数据。文章概述了生态系统中的主要参与者,并讨论了其优势和局限性。通过ZKPassport应用程序演示了NFC扫描、链上验证和Merkle树注册,以及用于通过范围标识符进行Safe钱包恢复的SDK。
零知识证明  生物护照  Safe 账户恢复  NFC扫描  Merkle树  zkPassport  身份验证 

保护您的加密资产:UVAML.io让脏币无处遁形

一次查询,避免百万损失——别让一笔交易毁掉您的全部资产在加密货币交易中,一次不小心收到黑U,可能导致您的交易所账户永久封禁、全部资产被冻结,甚至面临法律调查。这不是危言耸听,而是每天都在发生的真实案例。图1:某用户因收到黑U导致交易所账户被永久冻结,资产全部无法取出为什么必须警惕黑U风险?

如何应对供应链攻击

本文分析了最近NPM上发生的供应链攻击事件,恶意软件包通过替换用户交易中的区块链地址来窃取加密货币。文章解释了攻击原理,并提供了开发者可以采取的防御措施,包括版本锁定、使用`npm ci`以及实施Lavamoat等工具,以降低受到供应链攻击的风险。
供应链攻击  npm  恶意软件  LavaMoat  版本锁定  依赖管理  安全漏洞 
  • osecio
  • 发布于 2025-09-14
  • 阅读 ( 696 )
  • ( 20 )

代码审计循序渐进:第一部分

本文是作者分享的进行代码审计的步骤,主要分为理解代码和发现漏洞两个阶段。第一部分主要讲解如何高效地理解代码,包括建立基础知识、绘制代码流程图、阅读代码、并做笔记记录审计过程中的疑问、猜想和关键点。
代码审计  智能合约  安全漏洞  代码分析  协议安全  漏洞挖掘 

区块链取证:高级区块链取证技术…

本文深入探讨了区块链取证中的高级技术,包括基于时间的交易关联、隐私协议的解混与去匿名化、跨链桥跳跃分析、大规模数据分析与查询、图分析与聚类、以及洗钱模式识别。此外,还提供了一系列实用资源,例如工具平台、课程认证、社区协作和持续学习材料, 旨在帮助调查人员提升技能,更有效地打击加密货币犯罪。
区块链取证  隐私协议  跨链桥  数据分析  图分析  洗钱模式 

Concordance:利用 LLM 安全地简化复杂智能合约

Certora 发布了一款名为 Concordance 的开源工具,它利用 LLM 自动简化复杂的智能合约代码,同时使用 Concord 等价性检查器来保证代码行为不变。Concordance 通过迭代地简化代码,并使用 Concord 验证 LLM 提出的修改方案,从而帮助开发者更容易地理解和审计复杂的智能合约。
智能合约  LLM  形式化验证  代码审计  Concordance  等价性检查 
  • Certora
  • 发布于 2025-09-13
  • 阅读 ( 726 )
  • ( 32 )

哪些受攻击的跨链桥:跨链漏洞的智能合约安全指南

本文深入探讨了跨链桥的工作原理以及它们面临的安全挑战。文章解释了“锁定和铸造”机制,分析了过去发生的重大桥攻击事件,并详细阐述了智能合约中常见的漏洞,例如弱链下验证、私钥管理不当、逻辑错误、访问控制缺陷以及不正确的输入验证。此外,文章还强调了构建安全桥梁所需的重要安全措施,包括独立审计、去中心化验证、实时监控和强大的密钥管理。
跨链桥  智能合约  漏洞  攻击  安全  区块链 

Rust智能合约安全竞赛 - 赛后感

Certora举办了首次针对Rust的形式化验证竞赛,并与Code4rena和Cantina合作,为Soroban智能合约举办了两次社区竞赛。文章介绍了如何使用Certora的工具(如Sunbeam)和Rust库(如CVLR)进行形式化验证,并通过Blend v2和Aquarius两个竞赛的例子展示了形式化验证在发现智能合约漏洞中的应用。
形式化验证  Rust  智能合约  Soroban  Certora Prover  CVLR 
  • Certora
  • 发布于 2025-09-12
  • 阅读 ( 604 )
  • ( 18 )

一次侥幸:NPM 漏洞事件险些给加密货币用户带来浩劫

NPM(Node Package Manager)上知名开发者账号qix遭受网络钓鱼攻击,导致多个流行的 JavaScript 库被植入恶意代码,攻击者试图通过替换加密货币交易中的接收者地址来窃取资金。虽然攻击影响有限,只造成少量资金损失,但它暴露了软件供应链的潜在风险,并提醒开发者和用户采取更严格的安全措施,例如升级到修复版本、锁定依赖项版本、避免盲签交易等。
npm  供应链攻击  JavaScript  网络钓鱼  加密货币  地址替换 
  • Galaxy
  • 发布于 2025-09-12
  • 阅读 ( 813 )
  • ( 31 )

为什么 TypeScript 审计对于 Web3 安全和 DeFi dApp 保护至关重要

现代去中心化应用(dApps),特别是 DeFi 中的 dApps,严重依赖 TypeScript。
Typescript  安全审计  Web3  DApp  DeFi  漏洞 
  • zealynx
  • 发布于 2025-09-11
  • 阅读 ( 242 )

威胁情报:大规模NPM软件包投毒事件分析

2025年9月,NPM社区爆发大规模供应链攻击,目标为加密货币行业。攻击源于开发者qix收到的钓鱼邮件,攻击者冒充NPM官方,诱导其更新双因素认证信息,从而控制账户并发布包含恶意代码的NPM包。恶意代码主要通过地址替换和交易劫持窃取用户加密货币。
供应链攻击  npm  钓鱼邮件  双因素认证  地址替换  交易劫持 
  • slowmist
  • 发布于 2025-09-11
  • 阅读 ( 596 )
  • ( 27 )

MGF 手动引导模糊测试:一份新手指南

本文介绍了手动引导模糊测试(MGF)在智能合约安全中的应用,MGF通过定义特定的测试流程和不变量,有针对性地检测漏洞,文章还对比了Wake MGF 与 Foundry 的模糊测试和不变量测试,并提供了使用Wake框架进行MGF的具体步骤和代码示例,展示了如何初始化合约、定义流程、处理 revert,定义不变量以及运行测试。
模糊测试  智能合约  漏洞检测  Wake框架  手动引导模糊测试  Solidity 
  • Ackee
  • 发布于 2025-09-10
  • 阅读 ( 894 )
  • ( 40 )