全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

什么是重放攻击?

本文解释了重放攻击的概念,即恶意行为者捕获并重新传输有效数据以实现欺诈性身份验证或执行网络中未经授权的操作。文章通过在线银行、无钥匙汽车进入和网络身份验证等示例,详细说明了重放攻击的工作原理,并介绍了使用唯一标识符、时间戳和多因素身份验证等方法来预防重放攻击。
重放攻击  网络安全  身份验证  多因素身份验证  时间戳  唯一标识符 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 258 )
  • ( 13 )

跨链桥的七个关键安全漏洞分析

本文探讨了跨链桥的七个关键安全漏洞,包括私钥管理不善、未经审计的智能合约、不安全的升级流程、单一网络依赖、未经验证的验证器集、缺乏主动交易监控和缺乏速率限制。文章强调了Chainlink CCIP通过分层安全措施提供无与伦比的跨链安全性。
跨链桥  安全漏洞  私钥  智能合约  速率限制  Chainlink CCIP 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 256 )
  • ( 18 )

AI 钓鱼系列:第二部分 - 钱包盗取工具内幕与 EIP-7702 漏洞利用

本文深入探讨了Web3中钱包盗取工具的演变,特别关注了EIP-7702如何被利用于自动化、规避检测和大规模盗窃。文章分析了钱包盗取工具的原理、EIP-7702带来的新型钓鱼风险,以及攻击者如何利用自动化和语言模型来扩大攻击规模,并提出了相应的防御策略,最后通过一个真实案例“Inferno Drainer Reloaded”来说明了问题。
钱包盗取  EIP-7702  钓鱼攻击  web3安全  智能合约安全  交易签名 

什么是女巫攻击?

本文介绍了女巫攻击的概念、原理、类型(直接和间接攻击),以及它们对区块链网络的威胁。文章还讨论了以太坊经典和Verge等区块链网络上发生的女巫攻击案例,并探讨了通过密码经济安全、声誉系统和身份验证等方法来预防和防御女巫攻击的机制。
女巫攻击  Sybil攻击  区块链安全  51%攻击  密码经济学  声誉系统 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 196 )
  • ( 10 )

Web3 中的 AI 网络钓鱼:第一部分 - 诈骗如何从电子邮件演变为 GenAI 黑客攻击

本文探讨了Web3网络钓鱼攻击的演变,从早期的电子邮件诈骗发展到如今的深度伪造AI威胁、token提取器和自动钱包攻击。文章详细分析了区块链时代的新型网络钓鱼手段,Web3 威胁载体、以及AI技术如何被用于增强网络钓鱼攻击的各个方面。
Web3  网络钓鱼  AI  区块链  加密货币  token提取器 

潘多拉魔盒:不受限制的LLM如何威胁加密货币安全

文章探讨了不受限制的大型语言模型(LLMs)的兴起及其在加密货币领域的滥用。攻击者利用这些模型进行网络钓鱼、恶意代码生成和社会工程攻击。WormGPT、DarkBERT、FraudGPT、GhostGPT和Venice.ai等工具被用于各种恶意活动,包括创建虚假项目、生成钓鱼页面和自动化诈骗活动。文章最后强调了加强检测能力、提高防越狱能力以及建立道德和监管保障措施的重要性。
大型语言模型  网络安全  恶意软件  网络钓鱼  诈骗  加密货币 
  • slowmist
  • 发布于 2025-06-05
  • 阅读 ( 344 )
  • ( 16 )

BlockThreat - 2025年第22周

本周发生了多起加密货币安全事件,损失超过1200万美元,其中 Cork Protocol 遭受的攻击最为严重,攻击手段包括权限控制不足和奖励操纵等。文章强调了重复出现的攻击向量,并列出了前10名常见的攻击类型,呼吁业界关注并采取更全面的安全措施,同时还报道了其他加密货币领域的犯罪、诈骗和恶意软件事件。
漏洞利用  攻击向量  权限控制  预言机操纵  私钥泄露  网络钓鱼 

SUI生态DEX #Cetus 受攻击,代码安全审计真的足够吗?

此次Cetus受攻击的原因及影响暂时还不清楚,我们可以先看一下Cetus的代码安全审计情况。外行咱们看不懂具体的技术,但是这个审计摘要是能看懂的。➤Certik的审计来看,Certik对Cetus的代码安全审计,只发现2个轻度危险、且已解决。还有9个信息性风险,6个已解决。Cer
  • TVBee
  • 发布于 2025-06-04
  • 阅读 ( 528 )
  • ( 15 )

理解EIP-7702钓鱼攻击:钱包保护策略综合指南

本文深入分析了利用EIP-7702的钓鱼攻击,特别是攻击者如何利用MetaMask的7702批量执行功能,诱导用户授权恶意交易,从而造成重大资产损失的情况。文章详细阐述了MetaMask的7702 Delegator授权机制和安全架构,并通过案例分析揭示了InfernoDrainer等团伙的作案手法,最后针对钱包提供商和用户提出了具体的安全建议,以防范此类攻击。
EIP-7702  钓鱼攻击  MetaMask  Delegator合约  批量交易  智能合约 

Solodit清单详解:重入攻击

本文深入探讨了智能合约中重入攻击的原理、危害以及防御方法。文章通过具体的代码示例,详细解释了经典重入攻击和只读重入攻击的利用方式和防范措施,强调了Check-Effects-Interactions模式和重入锁Guard在保障智能合约安全中的重要性。尤其针对view函数在特定情况下可能返回过期数据的问题提出了应对方案。
重入攻击  智能合约  Check-Effects-Interactions  重入锁  ReentrancyGuard  只读重入 
  • Cyfrin
  • 发布于 2025-06-04
  • 阅读 ( 546 )
  • ( 30 )

面具之下:慢雾揭露虚假安全专家如何欺骗加密货币用户

攻击者通过伪造签名检查工具网站,诱导用户输入私钥,从而盗取用户资产。攻击者还冒充安全专家和安全公司,增加欺骗性。用户应保持警惕,通过官方渠道验证信息,切勿泄露私钥。SlowMist 团队将持续揭露此类诈骗行为。
钓鱼攻击  私钥  签名  社会工程学  区块链安全  诈骗 
  • slowmist
  • 发布于 2025-06-03
  • 阅读 ( 253 )
  • ( 13 )

代码中的数学确定性:为何智能合约形式化验证不可或缺

本文探讨了形式化验证在智能合约开发中的重要性,通过数学证明来确保代码的正确性,从而避免因漏洞造成的巨大经济损失。文章通过案例分析(如DAO和Parity Wallet漏洞)强调了形式化验证的必要性,并介绍了Chronos Vault如何利用多层数学验证框架和先进技术来保障智能合约的安全性。
形式化验证  智能合约  区块链安全  数学证明  漏洞预防  Chronos Vault 

区块链数据的可扩展不经意访问

本文讨论了加密货币中最大可提取价值(MEV)的问题,以及如何使用可信执行环境(TEE)和不经意随机存取存储器(ORAM)来缓解MEV攻击。文章介绍了Flashbots的BuilderNet架构和Oblivious Labs在实现私有订单流和数据访问层面的工作,以保护用户隐私和防止信息泄露。
MEV  可信执行环境  TEE  不经意随机存取存储器  ORAM  隐私 
  • flashbots
  • 发布于 2025-06-03
  • 阅读 ( 550 )
  • ( 25 )

Web3渗透测试和供应链安全的需求

文章讨论了Web3领域日益严峻的安全挑战,包括交易所攻击、供应链攻击以及潜在的恶意代码注入风险。强调了对第三方依赖、跨链桥和中心化开发工具的关注,并提出了综合性的安全测试方法,如持续监控、供应链审计和模拟攻击,以应对这些威胁。
web3安全  供应链安全  渗透测试  智能合约  威胁建模  漏洞 

【安全月报】| 5月份因黑客攻击、诈骗等导致损失约1.82亿美元

5月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 1.82 亿美元
黑客攻击  网络钓鱼  加密货币 

代理 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中关于代理(Proxy)模式的各种实现,包括基本代理、ERC1967代理、透明代理(Transparent Proxy)和 UUPS 代理,以及 Beacon 代理和最小克隆代理。
代理模式  可升级代理  EIP1967  透明代理  UUPS代理  Beacon代理 

20 亿美元的跨链桥难题:为何跨链安全是区块链的最终 Boss

Chronos Vault 提出了一种名为 Trinity Bridge 的新型跨链桥解决方案,旨在解决传统桥在安全性、速度和去中心化方面面临的“不可能三角”问题。Trinity Bridge 通过在以太坊、Solana 和 TON 三个独立的区块链网络上达成共识,并结合零知识证明、量子安全加密和实时威胁检测等先进技术,提供数学上可证明的安全保障,从而避免了以往桥遭受的重大攻击。
跨链桥  区块链安全  零知识证明  量子安全  多链共识  威胁检测 

近期 Web3 安全问题 季刊#3

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件,主要分析了不一致的Scaling问题,包括MBU Token由于Scaling不匹配导致攻击者获利200万美元,以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。
web3安全  智能合约  漏洞  攻击  Scaling  执行钩子 

SipHash 快速哈希算法 与 WASM

本文介绍了SipHash算法,它是由JP Aumasson和Daniel J Bernstein (djb)共同设计的一种快速哈希算法,旨在解决哈希表在面对拒绝服务(DoS)攻击时的脆弱性。SipHash通过密钥哈希的方式,在保证速度的同时,提供了较好的安全性,尤其适用于网络应用和WebAssembly (WASM)等场景,且比HMAC更快。
SipHash  哈希算法  拒绝服务攻击  WASM  密钥哈希  libsodium 

Axiom Halo2 电路深入研究

本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算,并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞,包括可能破坏系统安全性的soundness和under-constrained问题。
零知识证明  Halo2  以太坊  安全审计  区块链  密码学