全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

OpenZeppelin Relayer 插件系统

本文档介绍了OpenZeppelin Relayer的插件系统,该系统允许开发者通过TypeScript函数扩展Relayer的功能。文章详细说明了插件的配置方式、开发指南、调用方法以及调试技巧,并提供了完整的示例。此外,还讨论了从旧模式迁移到推荐的handler模式的步骤和兼容性。
OpenZeppelin Relayer  插件  Typescript  Handler模式  Relayer SDK  配置  调试 

为什么SDK审计对Web3安全至关重要

本文讨论了Web3安全中SDK审计的重要性,强调了SDK作为连接dApp、钱包和区块链网络的关键层,其安全性常常被忽视。文章详细解释了SDK审计的定义、与智能合约和OpSec审计的区别,以及SDK审计的具体流程和评估领域,并列举了现实世界中SDK漏洞的案例,突出了进行SDK审计的必要性。
SDK审计  web3安全  智能合约  漏洞  供应链攻击  密码学 

由 BitsLab 发起的 Web3 护航计划再结硕果:OneKey 安全升级正式发布,公开致谢 BitsLab 及白帽黑客

近日,知名硬件钱包服务商OneKey正式发布v5.8.0版本更新,在新增多项功能并优化用户体验的同时,重点修复了包括TON网络合约部署、dApp连接稳定性等在内的多个安全问题此次更新特别致谢了BitsLab主导的Web3SecuringPlan(Web3护航计划)以及白帽子安
  • BitsLab
  • 发布于 2025-04-23
  • 阅读 ( 613 )

选择审计竞赛:如何识别“灵丹妙药”

本文分析了审计竞赛平台常见的营销误导策略,包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时,关注透明度、沟通和有效指标,并提出了一系列问题,帮助读者识别并避免这些误导,从而选择真正能提高代码安全性的平台。
审计竞赛  安全研究  漏洞  智能合约  代码安全  安全审计 
  • zellic
  • 发布于 2025-04-23
  • 阅读 ( 1310 )
  • ( 35 )

DeFi黑客复现 - Foundry

该文档整理了2023年DeFi领域发生的安全事件,总共包含214起。每一条事件都列出了被攻击的项目名称、攻击日期、攻击类型、损失金额,以及复现漏洞的 Foundry 测试代码,和相关参考链接,可以帮助安全研究人员快速了解DeFi安全态势。
DeFi  安全漏洞  智能合约  攻击事件  Foundry  漏洞复现 

你的dApp是否足够安全,可以在链上运行?

本文探讨了Web3开发中常见的智能合约漏洞,并提供了防范措施。文章详细分析了重入攻击、数据溢出和下溢,以及价格预言机操纵这三种经典漏洞的原理、攻击方式和修复方法。此外,文章还介绍了Chainlink等工具在降低预言机操纵风险方面的应用,强调了安全第一的开发理念。
重入攻击  数据溢出  数据下溢  价格预言机  Chainlink  智能合约安全 

DeFi 中的舍入误差:1 Wei 如何让你损失数百万美元

DeFi领域中的rounding errors漏洞依然普遍存在,可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因,并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞,强调了Formal Verification在保障DeFi协议安全中的作用。
Rounding Errors  Formal Verification  DeFi安全  智能合约  Juice Finance  漏洞 
  • Certora
  • 发布于 2025-04-22
  • 阅读 ( 1469 )
  • ( 26 )

Tornado Cash 案:起诉代码不是正义

Roman Storm 因为开发开源代码 Tornado Cash 面临联邦监狱的刑罚,该工具旨在以太坊区块链上进行隐私交易。检察官指控他参与“无牌经营汇款业务”的犯罪阴谋。文章批判了政府对开源软件开发者施加不合理的法律责任,认为这种行为威胁了技术创新。
Tornado Cash  隐私交易  开源代码  反洗钱  监管  刑事指控 
  • Paradigm
  • 发布于 2025-04-22
  • 阅读 ( 1289 )
  • ( 5 )

TSP、电子身份、eIDAS 2 与英国数字钱包

本文讨论了数字化身份在英国的应用现状以及面临的挑战,强调了充分数字化和token化的经济的重要性。文章对比了英国政府在数字身份领域的进展与欧盟eIDAS2标准的实施,批评英国在该领域的缓慢进展,并建议英国政府采纳eIDAS2标准,以实现真正的数字身份和签名,促进TSP的增长,实现经济的数字化转型。
数字身份  eIDAS2  数字签名  TSP  UK Digital Wallet  EBSI 

Recon 不变性测试扩展

本文介绍了 Visual Studio Code 的 Recon 扩展,它简化了不变性测试套件的设置和运行。该扩展提供了一系列工具,包括自动生成测试框架、快速创建处理器、自动生成模拟合约、生成 Echidna/Medusa 报告、生成精简的覆盖率报告,以及生成用于调试的单元测试。
不变性测试  Visual Studio Code  Recon  Echidna  Medusa  模糊测试 
  • Recon
  • 发布于 2025-04-18
  • 阅读 ( 964 )
  • ( 20 )

KiloEx 漏洞分析:跨链损失 740 万美元

KiloEx 是一个多链永续合约协议,部署在 BNB、Base、opBNB 和 Manta 链上。2025年4月14日,KiloEx 遭遇攻击,损失达740万美元。攻击者利用用户合约中缺乏验证的漏洞,通过伪造签名和操纵价格,获利后迅速转移资金。
KiloEx  多链永续合约  安全漏洞  价格操纵  资金转移  MinimalForwarderContract 

零时科技 || 深入 Bybit 攻击事件 Part1 - 关于 Safe{Wallet}

我们监测到 Bybit Cold Wallet 发起⼀笔⼤额转账,转出 401,346 ETH 价值约 1.5 BillionUSD 。经过多⽅确认,确定这是⼀起针对 Bybit 的攻击。
黑客攻击  攻击事件  web3安全 

Solodit Checklist详解:Griefing攻击

本文解释了Solodit checklist中关于防范Griefing攻击的两项检查(SOL-AM-GA-1和SOL-AM-GA-2),Griefing攻击旨在干扰或阻止正常用户执行功能,攻击者通常会付出成本(如gas费)。文章通过具体合约代码示例展示了攻击原理和PoC,并提供了修复建议,强调开发者需要从对抗的角度去思考,验证外部交互,确保状态一致性。
Griefing攻击  拒绝服务  智能合约  Solidity语言  Gas限制  重放保护 
  • Cyfrin
  • 发布于 2025-04-15
  • 阅读 ( 1065 )
  • ( 16 )

OpenZeppelin Monitor - OpenZeppelin 文档

OpenZeppelin Monitor是一个区块链监控服务,可以实时监控链上活动,并根据配置的条件触发通知。它支持多链,具有可配置的监控计划,灵活的触发条件和可扩展的架构,可以方便地添加新的链。通过它,用户可以监视特定的事件和交易,并通过Slack、Discord、电子邮件等多种渠道发送警报。
区块链监控  实时监控  警报通知  多链支持  OpenZeppelin  链上安全 

OpenZeppelin Relayer 文档 - 签名器配置

本文档详细介绍了OpenZeppelin Relayer支持的各种签名器配置,包括本地密钥库文件签名器、HashiCorp Vault秘密引擎签名器、HashiCorp Vault Transit签名器、Turnkey签名器、Google Cloud KMS签名器和Amazon AWS KMS签名器。
OpenZeppelin Relayer  签名器  密钥管理  HashiCorp Vault  Google Cloud KMS  AWS KMS 

可能导致互联网崩溃的三个协议(以及我们所知的世界):DNS、PKI 和 BGP

本文讨论了互联网的三个关键协议:DNS、PKI 和 BGP,这些协议中的任何一个出现问题都可能导致互联网瘫痪。
DNS  PKI  BGP  域名系统  公钥基础设施  边界网关协议  网络安全 

AI 辅助进行代码安全审计

本文探讨了人工智能工具在区块链安全审计中的应用,包括其优点、局限性及实际案例。文章详细描述了AI工具如何增强代码理解、漏洞检测、攻击向量验证和文档报告写作等过程,同时强调了人工审计师在验证工具输出的重要性。各类AI工具的选择与使用对提高审计效率。文章对当前AI技术的快速发展及其未来趋势进行了展望。
区块链安全  人工智能  漏洞检测  智能合约  审计工具  深度学习 

针对Node.js构建ROP链

本文延续了Stefan Schiller发现的Node.js文件写入漏洞,并详细阐述了利用该漏洞的过程,尤其是如何构建ROP链以实现代码执行。文章通过具体示例和代码展示了相关技术细节,包括如何找到可利用的gadget,构造有效的payload,以及如何在Node.js应用中成功执行命令。
Node.js  ROP链  漏洞利用  libuv  系统调用  安全研究 

攻破与防御去中心化系统的艺术 – ImmuneBytes

文章探讨了区块链安全不仅仅是代码层面的问题,更是一场战略性的对抗游戏。攻击者总是先行一步,通过信息优势、信号传递和多轮攻击等手段,利用防御者的盲点和激励机制的漏洞来突破系统。因此,区块链安全的关键在于理解攻击者的策略,并设计能够打破这些策略的防御机制。
区块链安全  对抗博弈论  MEV  跨链桥  治理攻击  暗森林 

Solodit 检查清单解读 (4):抢跑攻击

本文深入探讨了区块链中的抢跑攻击,分析了攻击者如何利用透明交易的特性实现自己的利益。通过实例和示例代码,作者提供了防范抢跑攻击的最佳实践,包括保护'获取或创建'模式、两步交易的安全性检查、避免尘埃攻击和正确使用承诺-揭示方案。通过理解这些攻击方式,开发者可以更好地设计安全的智能合约。
智能合约  安全性  承诺-揭示  尘埃攻击  抢跑 
  • Cyfrin
  • 发布于 2025-04-12
  • 阅读 ( 1468 )
  • ( 81 )