全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

改进 Jolt zkVM 的安全性 - ZKSECURITY

zkSecurity 团队与 a16z 合作,对 Jolt zkVM 进行了深入研究,发现了多个严重的安全漏洞,如执行跟踪验证、输出检查和内存布局约束等方面的问题。这些漏洞可能允许恶意证明者绕过验证。Jolt 团队已经修复了这些问题, 并通过这次合作显示了对 zkVM 进行安全审计的重要性。
Jolt zkVM  零知识证明  RISC-V  漏洞  安全审计  Lasso lookup 

什么是智能合约审计及如何选择合作伙伴

本文介绍了智能合约审计的定义、流程、重要性和益处,并探讨了如何选择合适的审计合作伙伴。文章通过成功案例(Maple Finance, Morpho)和失败案例(Abracadabra Money, Penpie)对比,强调了智能合约审计对于确保用户和资金安全的重要性。此外,还讨论了不同类型的智能合约审计方法以及Three Sigma作为安全合作伙伴的优势。
智能合约  审计  漏洞  安全  区块链  DeFi 

闪电贷危机:Hedgey Finance 攻击事件解析

2024年4月19日,Hedgey Finance因智能合约中的Flashloan漏洞遭受了4470万美元的损失。攻击者在Arbitrum和以太坊网络上分别盗取了4260万美元和210万美元。本文详细分析了攻击的发生过程、被利用的漏洞、团队采取的缓解措施以及如何预防类似事件。
flashloan  智能合约  Hedgey Finance  Arbitrum  以太坊  漏洞 

什么是智能合约审计 & 如何选择合作伙伴

本文详细介绍了智能合约审计的概念、流程、重要性以及如何选择合适的审计合作伙伴。通过分析智能合约审计的工作原理、关键好处以及常见的漏洞,强调了审计在保护用户资金和确保项目安全方面的重要性。此外,文章还对比了审计过的项目和未审计过的项目所面临的不同风险,并提供了选择审计机构的建议。
智能合约审计  区块链安全  漏洞  安全风险  代码审计  智能合约 

证明:PyPI 上新一代的签名

PyPI 引入了新的安全特性,即 Index-Hosted Digital Attestations,通过 Sigstore 将 Trusted Publishing 和软件包分发联系起来,利用密钥签名将分发包的身份(名称和摘要)与其来源(生成它的 GitHub 仓库或其他来源)进行加密绑定。
PyPI  数字签名  Sigstore  Trusted Publishing  PEP 740  供应链安全 

ZTEE - 无信任供应链

这篇文章深入探讨了当前分布式密码协议和硬件在供应链安全中存在的缺陷,特别是针对安全硬件(SH)中恶意硬件的潜在风险。文章更多地关注如何验证和信任硬件,包括提出了一些完整的协议框架来进行远程认证(RA),以及对开放硬件进行深入分析,强调了开放设计对于提高硬件安全性的潜力。
远程认证  安全硬件  恶意硬件  物理不可克隆函数  开放硬件  供应链安全 

Solidity DoS Attack

在 Solidity 智能合约开发中,DoS(Denial of Service,拒绝服务)攻击是一个常见且需要关注的安全问题。本文探讨了 Solidity 中的三种主要 DoS 攻击类型及其防御方法
DoS  returnbombAttack 
  • Q1ngying
  • 发布于 2024-11-10
  • 阅读 ( 1647 )
  • ( 20 )

安全指南 | Web3.0渗透测试概念与实践详解

in  CertiK 安全知识分享
Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中,我们将探讨Web3.0渗透测试是什么、为什么它很重要,以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。
渗透测试 
  • CertiK
  • 发布于 2024-11-08
  • 阅读 ( 2566 )
  • ( 40 )

智能合约测试:形式验证与符号执行

本文深入探讨了智能合约的形式验证和符号执行测试。通过对这些技术的原理、工具和应用进行详细介绍,强调了它们在Web3安全审核中的重要性,并与其他测试方法进行比较。
形式验证  符号执行  智能合约  web3安全  测试方法  Trail of Bits 
  • Cyfrin
  • 发布于 2024-11-07
  • 阅读 ( 1280 )

揭秘Scam-as-a-Service:警惕钓鱼攻击的产业化

in  CertiK 安全知识分享
本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。
钓鱼攻击  网络安全 
  • CertiK
  • 发布于 2024-11-05
  • 阅读 ( 2862 )
  • ( 45 )

【安全月报】| 10月区块链安全事件有所上涨,因黑客攻击等损失金额达1.47亿美元

10月发生较典型安全事件超28起,因黑客攻击、钓鱼诈骗和RugPull造成的总损失金额达1.47亿美元
安全月报  黑客攻击  web3安全 

如何使用 QuickNode 设置来源域名白名单

本文详细介绍了如何在QuickNode上设置请求来源白名单,以提高应用程序的安全性。通过详细的步骤和示例,读者可以了解referrer白名单的定义、设定方法及其重要性,并获得一些额外的资源链接以提升安全性。
Referrer Whitelisting  QuickNode  安全性  DApp  HTTP头  API接口 

最佳智能合约审计与安全课程

本文列出了五个顶尖的智能合约审计和安全课程,旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题,都是业内专家设计,并提供了丰富的学习资源和实用技能。
智能合约审计  Web3  安全课程  在线学习  区块链  漏洞 
  • Cyfrin
  • 发布于 2024-11-02
  • 阅读 ( 1251 )
  • ( 4 )

事后分析(2024年9月)

文章详细描述了Maia DAO在一次高危漏洞事件中的应对过程,包括漏洞的发现、资金救援操作、以及后续的改进措施。漏洞导致超过120万美元的资金面临风险,最终通过多方面的合作成功进行了救援。文章还总结了从中学到的教训和改进建议。
Maia DAO  漏洞  资金救援  Permit2  Arbitrum  LayerZero 
  • maiaDAO
  • 发布于 2024-11-02
  • 阅读 ( 960 )

区块链重放攻击的最常见类型有哪些?

本文详细探讨了区块链重放攻击及其五种常见类型,包括缺失应用程序随机数、硬分叉、跨链、签名可变性和密码学随机数重用。文章还提供了针对这些攻击的有效防护措施,并引用了示例代码来展示如何实现这些保护机制。
区块链  重放攻击  应用程序随机数  硬分叉  跨链  签名可变性 
  • Cyfrin
  • 发布于 2024-11-01
  • 阅读 ( 1231 )

现代加密应用程序的钱包

本文深入探讨了加密钱包的技术栈,包括密钥管理、账户和接口三个核心层。
密钥管理  账户抽象  链抽象  安全  移动优先  加密钱包 

如何使用硬件钱包进行(不)盲签Safe多重签名交易

这篇文章讨论了辐射漏洞,其中超过5300万美元被盗,原因是受影响的多签名签名者盲目地签署了一个转移合同所有权的关键元交易
Radiant exploit  EIP-712  Security  多签  硬件钱包  元交易 
  • Bazzani
  • 发布于 2024-10-31
  • 阅读 ( 1599 )

在Web3中避免加密诈骗,确保你的资金安全:第二部分

本文深入探讨了Web3领域的复杂加密诈骗,包括最大可提取价值(MEV)攻击、SIM卡交换及DNS攻击,并提供了实际的安全防护建议。文章从诈骗原理出发,详细解读各种攻击形式,以及针对每种攻击给出了切实可行的防范措施,旨在提升用户的网络安全意识。
加密诈骗  MEV攻击  SIM交换  DNS攻击  网络安全  操作安全 
  • Cyfrin
  • 发布于 2024-10-31
  • 阅读 ( 924 )

錢包再見:助記詞的重要性與數位資產安全

本文深入探讨了数字资产安全的重要性,特别是助记词在加密货币钱包中的关键角色。通过详细阐述助记词与私钥的关系、生成原理及保护方法,提醒用户妥善保存助记词,以防资产丢失。
助记词  私钥  加密货币  钱包安全  BIP标准  ECDSA 

零时科技 || Ramses 攻击事件分析

我们监测到 Arbitrum 链上的攻击事件,Ramses Exchange项目被攻击,攻击总造成约 27 ETH 的损失,约为 70,000 USD 。