本文回顾了 DeFi Security Summit、DeFi World 和 DevCon 上关于 Web3 安全的讨论，总结了 2025 年 Web3 安全的风险和机遇，包括常见的智能合约漏洞、针对开发环境的钓鱼攻击，以及未满足的不变量等。

本文分析了Damn Vulnerable DeFi V4的Backdoor挑战，该挑战利用了WalletRegistry和Safe钱包初始化过程中的漏洞。

该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告，审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。

该文档是OpenZeppelin对Moonsong-Labs/zksync-social-login-circuit代码仓库进行的安全审计报告，主要内容是利用零知识证明验证Google账户所有权的Circom电路，用于智能账户恢复，审计发现了一些完整性和非确定性问题，并提出了改进代码质量的建议。

本次审计主要评估了 Matter Labs 的 zksync-sso-clave-contracts 仓库中关于使用 OpenID Connect (OIDC) 进行账户恢复的合约。

安全牛第十二版《中国网络安全行业全景图》，零时科技强势入围“区块链安全”领域。

为什么EIP-7702能被称为账户抽象“终极形态”？它到底解决了啥问题？Pectra 升级后对钱包、开发者和普通用户意味着什么？

本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞，该漏洞存在于NFT市场的购买逻辑中，由于在支付卖家之前就将NFT转移给买家，导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金，购买所有NFT，然后将NFT转移到recoveryManager合约以获得赏金，最后偿还闪电贷。

本文是对Across协议的智能合约进行安全审计的报告，重点关注为了集成Circle CCTP V2版本协议对合约所做的修改，以支持在以太坊和Linea区块链之间桥接USDC代币。审计发现了一些低风险问题，包括CCTP版本检查的可靠性问题和文档不足，并提出了相应的改进建议。总体而言，代码变更实现了使用CCTP协议的第二个版本将USDC桥接到Linea区块链的功能。

本文是对Across协议的Solidity合约进行的安全审计报告，重点关注了为支持Solana网络和ERC-7683订单所做的代码更改。审计发现了包括潜在的资金池耗尽漏洞、地址转换错误、重复代码、缺少单元测试等问题，并提出了修复建议。报告还包括对之前提交的PR的审查以及客户端报告的问题。

本次审核了across-protocol/contracts代码仓库，主要关注L3支持、ZkStack支持、可预测的中继哈希、支持最新版本的ERC-7683以及World Chain支持。发现了多个安全问题，包括缺少访问控制、错误的函数调用、不正确的ETH传输处理，以及潜在的重放攻击等。建议改进代码，增加测试，并确保代码符合最新的ERC-7683标准。

本文是一篇针对 Across 协议的智能合约代码审计报告，该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题，并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约，用于在操作排队和执行之间强制实施延迟，以提高去中心化治理的安全性。通过 Defender，用户可以导入 TimelockController 合约，创建提案，授予和撤销角色，从而实现对合约权限的集中管理。

BitsLab旗下TonBit再次于TON虚拟机（TVM）深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境（使用本地区块链）、编写单元测试（使用Chai断言库），以及执行复杂断言的方式（使用OpenZeppelin Test Helpers）。文章还提及了持续集成服务（如CircleCI）的设置，以便每次提交代码到GitHub时自动运行测试。

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易，并验证智能合约行为，从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata，模拟 ERC-20 approve 交易的影响，并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。

本文是关于OpenZeppelin升级插件的常见问题解答，涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据，解码出两个预言机报告者的私钥，攻击者可以利用这些私钥操纵NFT价格，低价购买后再以高价卖出，从而获利。

本文介绍了如何使用 OpenZeppelin Defender 管理智能合约中的角色权限，包括添加合约、查看和修改角色。通过一个基于角色的访问控制（RBAC）智能合约示例，演示了如何创建合约、分配和撤销角色，以及如何使用 Defender 的地址簿和交易提案功能进行操作。主要目的是帮助用户了解如何使用 Defender 有效地管理和控制智能合约的访问权限。

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据，用户可以验证交易的意图，防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程，并提供了一个Python脚本来自动化calldata分析，最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。