全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Fireblocks 可升级代币审计 - ERC1155F

本篇文章介绍了对Fireblocks升级可转让代币的审计过程及其结果,主要关注ERC-1155标准的实现及其附加的访问控制功能。审计中发现了12个问题,其中1个为低级别问题,并提出了多项改进建议,以提升代码质量和文档清晰度。
ERC-1155  访问控制  审计  Solidity  智能合约  Fireblocks 

Fireblocks可升级代币审计 - ERC721F

该文章对Fireblocks的可升级tokens进行了审计,主要围绕ERC721F合同中的访问控制实现及其漏洞进行了讨论。审计发现了一些高、中、低严重性的安全问题,并提供了相应的修复建议和代码改进的方向,强调了合同的可升级性及其实现中的功能特点。
ERC721F  可升级性  访问控制  安全审计  Solidity  智能合约 

用 AI 开发 Chrome 插件:替代 SwitchyOmega

引言最近,《SwitchyOmega被曝盗取私钥,如何防范插件被篡改?》一文引发了广泛关注,Chrome插件的安全性问题成为焦点。在AI技术蓬勃发展的当下,我们可以借助强大的AI工具来开发一款安全可靠的Chrome插件,替代SwitchyOmega。同时,Trae作为一
Chrome扩展  AI  Trae 
  • King
  • 发布于 2025-03-13
  • 阅读 ( 1651 )
  • ( 22 )

ZKsync SSO账户抽象审计

本文介绍了zksync SSO账户抽象的审计结果,包括安全模型、设计选择、潜在的安全问题以及高、中、低严重性的问题。文章详细列出了每个问题的描述、解决建议及其优先级,并对代码的生产就绪度进行了评估。结尾部分强调了该代码库的灵活性和健壮性,鼓励开发团队进行必要的改进与增强测试。
智能合约  账户抽象  安全审计  Solidity  zkSync  模块化 

提升 Web3项目运营安全:开发者和团队的最佳实践

本文讨论增强Web3的运营安全性(OpSec)的方法,包括分层防御、密钥管理和安全流程。作者基于自己在卡支付行业的经验和SEAL 911的最佳实践,提供了一系列切实可行的建议,旨在帮助协议开发者和维护者保护用户及协议的资金。
运营安全  Web3  分层防御  密钥管理  安全流程  SEAL 911 
  • Cyfrin
  • 发布于 2025-03-11
  • 阅读 ( 729 )
  • ( 14 )

使用 Tenderly 调试 Hardhat 智能合约项目

本文介绍了如何将 Tenderly 集成到 Hardhat 项目中,以调试智能合约,并提供了一个使用 Tenderly 进行调试的示例,包括 Staking 和 Rewards 合约的部署和交互。文章还分享了在使用 Tenderly 时可能遇到的问题和解决方法,例如如何正确访问合约对象以调用函数,以及如何配置 Hardhat 以使用 Tenderly 进行合约验证。
tenderly  Hardhat  智能合约调试  区块链安全  测试网  合约验证 

8款行业领先智能合约审计和安全工具

本文列出了八种行业领先的智能合约安全审计工具,讨论了它们的功能和优势,强调了安全性在Web3生态系统中的重要性。工具涵盖模糊测试、静态分析和正式验证等不同领域,旨在帮助智能合约开发者提高代码的安全性和可靠性。
智能合约  安全审计  模糊测试  静态分析  正式验证  Web3 
  • Cyfrin
  • 发布于 2025-03-09
  • 阅读 ( 1226 )
  • ( 26 )

测试指南 - OpenZeppelin 文档

本文档提供了关于 OpenZeppelin Monitor 测试的信息,包括运行测试、生成覆盖率报告和理解测试结构。文档详细描述了测试的组织结构,包括单元测试、集成测试和基于属性的测试,并提供了运行特定测试类别(如属性测试、集成测试或单元测试)的命令。此外,还介绍了如何生成HTML和终端覆盖率报告,并提供了一些故障排除技巧,以及贡献测试的指南。
测试  OpenZeppelin Monitor  覆盖率报告  单元测试  集成测试  属性测试 

我如何使用Solodit赢得比赛

这篇文章详细介绍了作者如何利用自己的工具Solodit提升区块链安全学习,并通过分析和总结安全报告来精进技能。作者分享了其工具的功能增强过程,以及Solodit如何从个人使用演变为社区共享的重要平台,旨在促进Web3的安全发展。
区块链安全  Solodit  安全报告  技能提升  安全审核  学习工具 

竞争性审计与私有审计:优缺点分析

这篇文章深入探讨了竞争性和私密性智能合约审计的优缺点,并提供了选择合适审计类型的指导。文章强调审计的重要性,结合市场变化和安全需求,提出应根据公司需求和开发阶段选用竞争性或私密性审计,甚至是两者兼顾。同时,作者分析了审计成本和历史数据,提供了具体实例以帮助决策。
智能合约  审计  私密审计  竞争审计  DeFi  安全性 
  • Cyfrin
  • 发布于 2025-03-07
  • 阅读 ( 700 )
  • ( 10 )

架构指南 - OpenZeppelin 文档

本文档描述了OpenZeppelin Monitor的高级架构,包括核心组件、组件交互和整体系统设计。它提供了关于服务如何处理区块链数据并根据可配置的条件触发通知的技术概述,系统被组织为一个数据处理管道,从区块链数据收集到通知传递。该系统遵循模块化架构,为监控过程中的每个步骤设计了不同的组件,以实现可扩展性。
OpenZeppelin Monitor  区块链监控  架构设计  数据处理管道  通知服务  区块链数据 

颠覆Web3中的Web2认证

本文分析了Web3应用中Web2认证集成时存在的安全风险。作者通过案例研究,揭示了OAuth逻辑漏洞、Supabase元数据配置错误以及在localhost环境下滥用OAuth等问题,强调了在Web3应用中采用安全可靠的认证方式的重要性,需要开发者采用更强大的身份验证流程,以弥合Web2框架和Web3生态系统之间的差距。
Web3  Web2  身份验证  OAuth  Supabase  安全漏洞 
  • osecio
  • 发布于 2025-03-07
  • 阅读 ( 418 )

基于AWS可信任执行环境TEE的应用分析

可信执行环境(TrustedExecutionEnvironment,TEE)是一种安全隔离的执行环境,能够保护数据、代码和计算过程免受恶意软件或未授权访问的影响。
AWS  TEE 

多签的正确使用方式

本文详尽探讨了如何实施多重签名(multisig)安全的最佳实践,以保护区块链协议免受潜在的攻击。通过分析不同风险类别及相应的签名阈值,文章提供了一种系统的框架,建议使用多种合约(如Gnosis Safes,RolesAuthority和TimelockController)来增强安全性,并提出具体的实施建议。最终,文章强调了协议团队在管理多重签名时需要注意的良好做法和其他安全考虑。
multisig  安全性  风险管理  Timelock  Gnosis Safe  RolesAuthority 
  • Recon
  • 发布于 2025-03-06
  • 阅读 ( 1945 )
  • ( 116 )

Bybit 14 亿美元盗窃案:黑客如何利用 Safe 基础设施实施攻击

这篇文章详细分析了Bybit交易所创下的14亿美元黑客事件,揭示了Safe基础设施被攻击的过程。文章通过提供攻击细节、技术分析以及安全建议,强调了多签名钱包在安全验证中的重要性,以及在面对精明的攻击者时保持高标准的操作安全(OpSec)的必要性。
黑客  多签名  安全分析  Bybit  Safe  操作安全 
  • Cyfrin
  • 发布于 2025-03-05
  • 阅读 ( 1435 )
  • ( 11 )

安全 - 持续性TRAIL

本文档介绍了如何在软件开发生命周期(SDLC)中持续维护和更新威胁模型,以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型,包括确定需要更新的关键组件、新增风险的跟踪,以及如何将威胁模型集成到SDLC的各个阶段,从而创建一个威胁和风险分析信息生命周期TRAIL。
威胁建模  软件开发生命周期  安全风险  安全控制  威胁分析  风险评估 

十大智能合约审计公司与服务

本文介绍了十大智能合约审计公司及其服务,详细说明了智能合约审计的重要性,以及如何选择适合的审计服务。文章涵盖了不同公司提供的技术和专业知识,体现了在区块链项目中进行审计的必要性和益处。
智能合约审计  区块链安全  DeFi  审计公司  漏洞检测  技术评估 
  • Cyfrin
  • 发布于 2025-03-04
  • 阅读 ( 2681 )
  • ( 36 )

Socket事件报告,1月16日

Socket 在 2024 年 1 月 16 日遭遇安全事件,攻击者利用 Socket Aggregator 系统中新模块的漏洞,从已授权无限额度的用户处盗取了约 330 万美元的资金,包括 USDC、USDT、DAI、WETH、WBTC 和 MATIC 等代币。团队迅速响应,暂停了受影响的模块,并与安全团队合作尝试追回资金。目前正在积极联系受影响的用户,并制定安全加强计划。
漏洞  攻击  资金盗取  安全事件  以太坊  合约 

访问控制 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中用于访问控制的多种合约和接口。这些工具可以限制谁可以访问合约的功能以及何时可以访问。其中包括简单的Ownable合约,以及更复杂的AccessControl和AccessManager合约,它们提供了基于角色和权限的细粒度控制。
访问控制  权限管理  ownable  AccessControl  AccessManager  角色 

Bybit事件技术分析

in  Web3.0安全开发实践
事件概述2025年2月21日UTC时间下午02:16:11,Bybit的以太坊冷钱包(0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4)因恶意合约升级遭到资金盗取。
  • CertiK
  • 发布于 2025-03-02
  • 阅读 ( 3818 )
  • ( 25 )