全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Web3 安全入门:常见的硬件钱包陷阱

本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
硬件钱包  安全  钓鱼攻击  中间人攻击  恢复短语  加密资产 
  • slowmist
  • 发布于 2025-06-18
  • 阅读 ( 414 )
  • ( 23 )

零知识虚拟机(zkVM)简介

本文是零知识虚拟机(zkVM)安全系列的第一篇文章,主要介绍了zkVM的基本概念、工作原理及其在可验证计算中的作用。文章还简要介绍了zkEVM及其在区块链中的应用,并概述了该系列后续文章的主题,旨在为零知识领域的研究人员和zkVM开发者提供有用的安全指导。
零知识证明  虚拟机  zkVM  zkEVM  可验证计算  RISC Zero 
  • Veridise
  • 发布于 2025-06-18
  • 阅读 ( 684 )
  • ( 26 )

如何编写一份全面的审计报告:来自实战的经验——ImmuneBytes

本文主要讨论了智能合约审计报告的重要性以及如何编写高质量的审计报告。强调了审计报告不仅要列出漏洞,还要讲述系统如何工作、在哪里出现问题以及如何修复。文章还分享了编写审计报告的实用经验,包括报告的结构、内容要点以及如何清晰地表达技术细节。
智能合约  审计报告  漏洞  安全  代码质量  最佳实践 

签名者配置 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Relayer中用于交易签名的signers配置,包括支持的signer类型(local, vault, vault_cloud, vault_transit, turnkey, google_cloud_kms, aws_kms),配置结构,以及它们在不同网络(EVM, Solana, Stellar)的兼容性,并提供了各种signer类型的详细配置示例和安全最佳实践。
OpenZeppelin Relayer  签名者  密钥管理  HashiCorp Vault  Google Cloud KMS  AWS KMS  Turnkey  密钥存储  交易签名 

如何无痛进行链上大额转账

本文探讨了链上大额转账存在的痛点,以及一些解决思路
区块链  钱包  CEX 
  • 卡卡
  • 发布于 2025-06-15
  • 阅读 ( 618 )
  • ( 14 )

AI网络钓鱼系列:第六部分 - 法律护栏、量子深度伪造和Web3集体防御

AI技术正在以超乎法律的速度重塑加密货币诈骗,文章探讨了AI网络钓鱼如何重塑加密货币和Web3的监管、责任和集体防御。随着Web3应用拥抱AI工具,传统的诈骗也变得更加“自治”,文章呼吁业界通过法律、技术和协作护栏,在政策和保护隐私的防御创新方面赶上AI诈骗的步伐,以确保生态系统的安全。
AI  网络钓鱼  Web3  MiCA  智能合约  量子计算 

2025 硬件钱包评测 - 第二篇

作者评测了四款加密货币硬件钱包:SafePal S1 Pro、BitBox02、Burner 和 NGRAVE Zero。作者主要关注钱包的安全性、是否开源以及交易数据的可验证性。BitBox02 在显示签名数据和开源方面表现较好,作者推荐安全研究人员使用,但没有一款钱包能完美保护用户免受攻击。
硬件钱包  加密货币  安全  交易签名  开源  EIP-712  Calldata 

自主网络钓鱼的防护:政策、隐私和下一代防御 - 第六部分

AI技术正在快速改变加密货币诈骗的形式,法律的制定速度已经无法跟上。本文探讨了AI诈骗带来的法律挑战,以及Web3防御者如何通过技术创新来应对。同时,也讨论了行业如何通过共享标准和合作联盟来构建安全防线,包括企业以太坊联盟、Web3安全联盟等。
AI欺诈  智能合约  web3安全  联邦学习  多智能体攻击  隐私保护 

智能合约安全中的自定义模糊测试

本文介绍了智能合约安全中自定义模糊测试的重要性,强调了Spearbit将模糊测试自动化与专家驱动的手动审查相结合的方法,以应对传统模糊测试工具的局限性。文章深入探讨了模糊测试的工作原理、不同类型(如基于突变、基于生成、智能与笨拙型模糊器),并通过实际案例展示了Spearbit如何利用差分模糊测试揭示跨实现语义不一致性,从而提高智能合约的安全性。
模糊测试  智能合约  安全  Spearbit  差分模糊测试  漏洞 
  • cantina
  • 发布于 2025-06-12
  • 阅读 ( 1519 )
  • ( 116 )

安全时光机:2025年5月至6月区块链黑客报告 – ImmuneBytes

本文分析了2025年5月至6月期间发生的多起区块链安全事件,包括Cetus Protocol、Alex Protocol、Cork Protocol和Mobius DAO等项目遭受的攻击,并探讨了ImmuneBytes如何通过其安全策略来预防这些漏洞,强调了安全审计和验证的重要性。
区块链安全  智能合约审计  漏洞  攻击  安全策略  形式化验证 

AI 钓鱼系列:第五部分 - 实时防御、GNN 检测和 Web3 威胁情报

本文讨论了如何实时防御Web3攻击,包括利用流分析、大型语言模型(LLM)和图神经网络(GNN)更快地发现诈骗,以及如何通过威胁情报共享来降低跨链风险。文章阐述了构建链上安全分析、使用LLM辅助分类、利用GNN处理EVM数据以及社区威胁情报共享的具体方法。
web3安全  流分析  LLM  图神经网络  威胁情报  链上安全 

智能合约审计介绍 - ImmuneBytes

本文深入探讨了智能合约审计的重要性,它能发现智能合约中隐藏的安全漏洞和错误。文章详细介绍了智能合约审计的定义、流程(包括需求收集、单元测试、代码分析、手动代码审查和报告生成)、成本以及进行审计的必要性和好处,强调了审计在保护用户资金、提升项目可信度方面的重要作用。
智能合约  审计  安全漏洞  代码审查  区块链  DeFi 

攻破与防御去中心化系统的艺术 – ImmuneBytes

本文深入探讨了区块链安全,指出其不仅仅是代码层面的问题,更是一场策略性的对抗游戏。攻击者总是先行动,通过信息不对称、信号传递和多轮攻击等手段,利用防御者的盲点和激励机制漏洞。文章强调,成功的防御需要理解攻击者的策略,并设计能够打破其游戏规则的防御机制。
区块链安全  对抗博弈论  MEV  跨链桥  治理攻击  信息不对称 

Solodit Checklist详解:重放攻击

本文主要介绍了重放攻击的概念、原理以及防范措施。重放攻击是指攻击者恶意重复使用有效的交易或签名,从而导致未经授权的状态变更。文章通过Solodit Checklist中的两个条目,详细讲解了如何利用nonce、链ID和域名分隔符等技术手段,防止重放攻击,从而保障智能合约的安全。
重放攻击  nonce  链ID  EIP-712  域名分隔符  签名 
  • Cyfrin
  • 发布于 2025-06-11
  • 阅读 ( 349 )
  • ( 12 )

Web3应用为何需要全栈安全审查 – ImmuneBytes

Web3应用的安全不能只关注智能合约审计,而应该进行全栈安全审查,包括前端渗透测试、钱包安全、预言机安全、后端安全和外部库安全。攻击者会利用任何层面的漏洞来获取访问权限或转移资产,因此需要对整个产品进行安全审计。
智能合约审计  DApp安全  全栈安全  渗透测试  钱包安全  预言机 

AI 诈骗系列:第四部分 - 交易机器人诈骗、虚假 DeFi 与链上取证

本文揭露了利用AI进行诈骗的常见手段,包括伪造交易机器人和DeFi平台。这些诈骗项目通过虚假数据和精心设计的界面来欺骗用户,最终导致资金损失。文章还介绍了链上分析技术,如GNN和操作码指纹识别,用于追踪和识别这些诈骗行为,并强调了保持怀疑态度和进行独立验证的重要性。
AI诈骗  DeFi  链上分析  GNN  操作码指纹  交易机器人 

BlockThreat - 2025年第23周

本周,超过1700万美元的资金在四起独立事件中被盗,其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞,而Marinade Finance遭受了一起500万美元的市场操纵计划,该计划持续了数月未被发现。此外,还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。
区块链安全  漏洞  黑客攻击  网络钓鱼  恶意软件  加密货币 

坚不可摧Damn Vulnerable Defi V4 解决方案系列

本文分析了Damn Vulnerable Defi V4挑战中的Unstoppable Vault漏洞。
以太坊  智能合约  漏洞  DeFi  flash loan  ERC4626 

AI 钓鱼系列:第三部分 - Web3 中的深度伪造、语音克隆和社交工程

攻击者利用深度伪造和克隆声音来伪造代言并耗尽钱包,AI诈骗正在利用Web3中的信任。文章介绍了GAN和扩散模型在制造Meme coins以及语音克隆诈骗中的应用,并探讨了检测和缓解工具,包括内容来源验证和异常检测,并强调了双因素验证和实时性检测的重要性。
深度伪造  语音克隆  web3安全  AI诈骗  内容验证  双因素验证 

错误处理 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Monitor的结构化错误处理系统,该系统提供了丰富的上下文信息和跨服务边界的跟踪能力。文档通过实例展示了错误如何在系统中传播,并详细描述了错误结构,包括错误上下文和特定于域的错误类型。此外,还提供了错误处理指南,说明了何时使用哪种模式来创建和跟踪错误,例如跨域边界时转换为特定于域的错误类型,以及使用`with_context()`添加信息。
错误处理  OpenZeppelin Monitor  错误上下文  错误类型  Rust语言  区块链监控