全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全 

智能合约安全第六部分:保护以太坊智能合约免受矿工操纵

本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵  Chainlink VRF  智能合约安全  以太坊  随机数生成  Commit-Reveal机制 

【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发

OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin  Contracts MCP  智能合约  AI  Solidity  Cairo  Stylus  Stellar 

零时科技 || RareStaking 攻击事件分析

我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击  web3攻击  区块链安全 

Rebase 类型代币局限性:舍入误差与拒绝服务攻击问题

本文深入探讨了Rebase代币的漏洞与局限性,分析了由于Solidity语言特性以及EVM的限制,在智能合约中可能出现的舍入误差问题,并探讨了针对智能合约的拒绝服务(DoS)攻击及其防范措施。文章还强调了开发者和审计人员在Web3安全中的作用。
Rebase代币  舍入误差  拒绝服务攻击  智能合约  Solidity  EVM 

使用 Halmos 进行现代不变性测试

本文介绍了使用 Halmos 工具进行智能合约状态不变性测试的演变过程。首先通过在无状态测试中模拟状态变化来实现,然后利用 Halmos 提供的 cheatcode 简化了测试代码,并加入了快照状态的机制以优化性能。最后展示了 Halmos v0.3.0 版本如何原生支持状态不变性测试,极大地简化了测试流程,并提供了升级和使用 Halmos 的方法。
智能合约  形式化验证  不变性测试  Halmos  SMT solving  状态空间探索 

BlockThreat 周报 - 2025年第30周

本周发生了三起安全事件,损失超过 1500 万美元,其中大部分损失来自 Woo X 交易所被攻击。对Roman Storm的Tornado Cash审判由于错误的区块链追踪和对去中心化智能合约的误解而陷入困境。文章还列举了近期发生的安全事件、网络犯罪、钓鱼攻击、诈骗以及恶意软件等,并推荐了一些安全工具。
安全漏洞  智能合约  区块链安全  交易所攻击  网络钓鱼  恶意软件 

为什么 Keystone 要实现 Shamir 备份

本文介绍了 Keystone 硬件签名器实现的 SLIP39 Shamir 备份标准,该标准允许将种子词分割成多个片段,并设定阈值,只有达到阈值数量的片段才能恢复钱包。文章讨论了Shamir备份的优点、缺点,以及使用建议,例如,提醒用户在转入大量比特币之前先进行练习,并定期执行安全检查。
Shamir 备份  SLIP39  种子词  KeyStone  硬件签名器  私钥分割 
  • BTCStudy
  • 发布于 2025-07-26
  • 阅读 ( 881 )
  • ( 6 )

去中心化物理基础设施网络(DePIN)安全最佳实践

本文讨论了去中心化物理基础设施网络(DePIN)的安全最佳实践。DePIN 将物理服务与区块链基础设施相结合,面临智能合约漏洞以外的独特攻击面,包括编排系统、物理设备、治理过程和行为激励。文章提出了一个全面的安全模型,涵盖 DePIN 协议的整个生命周期,强调风险评估、对抗性建模和跨层可见性。
DePIN  安全模型  智能合约  风险评估  物理基础设施  安全 
  • cantina
  • 发布于 2025-07-25
  • 阅读 ( 1103 )
  • ( 30 )

Anchor 框架中 Init 和 Init if needed 的安全性含义

本文深入探讨了 Anchor 框架中 `init` 和 `init_if_needed` 约束的工作原理,重点分析了 `init_if_needed` 可能导致的重初始化攻击风险。文章详细解释了攻击者如何通过使账户未初始化(例如,通过耗尽 lamports 或更改所有权)来强制重新初始化,并提供了避免此类漏洞的安全实践建议,强调在关键状态账户上应优先使用 `init`。
Anchor框架  重初始化攻击  INIT  init_if_needed  Solana  智能合约 

威胁情报:恶意Solana开源交易机器人分析

该文章分析了一个恶意Solana开源交易机器人的威胁情报。攻击者通过伪装成合法的开源项目,诱使用户执行恶意代码,该代码会窃取存储在本地.env文件中的私钥,并将其传输到攻击者控制的服务器。文章通过静态分析和动态分析,揭示了攻击的原理、恶意代码的位置,并给出了安全建议。
Solana  恶意机器人  私钥泄露  威胁情报  开源项目  社会工程 
  • slowmist
  • 发布于 2025-07-23
  • 阅读 ( 1091 )
  • ( 29 )

GMX攻击分析&基于Wake的攻击场景复现

该分析详细介绍了GMX协议遭受的4200万美元攻击事件,攻击源于跨合约重入漏洞,该漏洞绕过了增加仓位时的访问控制。攻击者利用此漏洞操纵GLP代币价格,使其价格升高,从而以操纵后的价格赎回代币,并从协议中提取利润。文章还提供了一个可重现攻击场景的工作示例,用于教育目的。
GMX  重入漏洞  GLP代币  价格操纵  智能合约  跨合约调用 
  • Ackee
  • 发布于 2025-07-23
  • 阅读 ( 576 )
  • ( 4 )

2025年如何实施有效的MEV保护

本文讨论了2025年区块链生态系统中最大可提取价值(MEV)的管理和保护。文章分析了MEV是什么,以及它如何影响区块链的公平性和效率,深入探讨了各种MEV提取策略,如套利、三明治攻击、清算和JIT流动性,并提供了MEV检测的代码示例。此外,还介绍了高级MEV保护实施方法。
最大可提取价值  MEV  三明治攻击  抢跑交易  闪电机器人  区块链 

可升级智能合约系列:第二部分 - 顶级智能合约漏洞与真实世界的攻击

本文探讨了可升级智能合约中存在的关键风险,包括未初始化的代理、存储冲突和恶意升级。通过分析Wormhole、Parity Multisig Wallet、AllianceBlock和Audius Governance等真实案例,强调了在升级过程中可能出现的安全漏洞以及由此可能造成的严重后果,并为开发者提供了避免这些常见陷阱的建议。
可升级合约  智能合约  代理模式  存储冲突  安全漏洞  以太坊 

签名陷阱:为何Web3中的钱包用户体验正在让用户失望

本文深入探讨了一种名为“钱包欺骗”的网络钓鱼攻击,攻击者通过欺骗用户签署恶意消息或交易来盗取用户资产。文章分析了这种攻击方式的原理,即利用用户对钱包签名机制的不了解和Web3交互中存在的UX设计缺陷,并通过实际案例展示了这种攻击的危害性。最后,文章强调,要解决这个问题,需要改进钱包的用户体验,例如提供更清晰的消息解读、行为警告和风险提示,以帮助用户更好地理解签名内容的含义和潜在风险。
钱包欺骗  签名  MetaMask  EIP-712  用户体验  网络钓鱼 

Blockthreat 周报 - 2025年第29周

本周安全事件频发,多个交易所遭遇热钱包攻击,损失惨重。攻击者并非直接攻击私钥,而是控制了管理私钥的基础设施。此外,Tornado Cash 案件的审判正在进行中,涉及 NFT rug pull 的洗钱行为。同时,针对加密货币领域的恶意活动日益猖獗,包括网络钓鱼、恶意软件攻击等。
加密货币  安全漏洞  攻击事件  Tornado Cash  网络钓鱼  恶意软件 

如何安全地质押加密货币?

本文深入探讨了加密货币质押的安全策略,强调了在数字经济中保护资产的重要性。内容覆盖了选择安全钱包、评估验证者、平台安全评估、风险管理及未来安全规划,旨在帮助投资者成为更智能、更安全的质押者,从而在迅速发展的质押领域长期受益。
加密货币质押  安全策略  硬件钱包  验证者选择  风险管理  流动性质押 
  • DAIC
  • 发布于 2025-07-21
  • 阅读 ( 432 )
  • ( 3 )

加密内存池的局限性

本文探讨了使用加密内存池来解决区块链最大可提取价值(MEV)问题的挑战与局限性。文章分析了加密内存池的几种设计方案,包括使用可信执行环境(TEE)、密钥共享和延迟加密等技术,并深入研究了这些方案在技术、经济和效率方面所面临的挑战,例如元数据泄露、激励解密和价格不确定性等问题。最后,文章提出混合设计可能是MEV解决方案的一部分。
MEV  加密内存池  矿工可提取价值  密码学  区块链安全  交易排序 

追踪冻结:USDT黑名单及其与恐怖主义关联的链上分析

该报告分析了USDT黑名单模式及其与恐怖主义融资的联系,揭示了洗钱循环、跨链流动和执法延迟。分析发现,大量被冻结的USDT地址与恐怖主义融资有关,且交易所如币安和OKX在资金流动中扮演关键角色。
USDT  黑名单  恐怖主义融资  洗钱  区块链  交易所 

BlockThreat - 2025年第28周

本周,超过 4600 万美元的资金在七起事件中被盗。
ERC1967Proxy  EVM 链  白帽  漏洞  智能合约  代理合约