全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

【安全月报】| 8 月加密货币安全事件造成 1.81 亿美元损失

8 月加密货币领域因黑客攻击、诈骗及漏洞利用造成的总损失约1.81 亿美元
黑客攻击  钓鱼攻击  加密货币  区块链安全 

交易者的代币风险扫描:Glider标记了20多种链上风险,而其他工具则遗漏了这些风险

文章主要介绍了Token Risks API,该工具旨在帮助交易者识别ERC20代币智能合约中存在的潜在风险,通过快速、深入和准确的扫描分析,Token Risks API能够检测20多种关键威胁,并提供风险评分、流动性及所有权状态以及合约风险等信息,从而帮助用户在交易前做出更明智的决策。
Token Risks API  智能合约  安全  风险扫描  ERC20  DeFi 
  • hexens
  • 发布于 2025-09-01
  • 阅读 ( 8 )

BlockThreat 周报 - 2025年第34周

本周加密货币领域损失约9140万美元,主要是一起网络钓鱼攻击导致。EIP-1967代理劫持事件频发,提醒开发者注意合约初始化原子性。Lazarus组织入侵Woo X,盗取1400万美元。新的iOS 0day漏洞被利用。此外,还涉及域名劫持、零日漏洞、密码管理器漏洞、加密犯罪报告、政府追回被盗资金、以及针对Dogecoin的攻击等。
网络钓鱼  EIP-1967  漏洞  安全  加密货币  iOS 

BlockThreat - 2025年第33周周报

本周要点包括:BtcTurk再次遭受热钱包攻击损失5170万美元;Coinbase因错误授权导致55万美元损失;Kraken因Monero遭受51%攻击暂停Monero存款。此外,还涉及朝鲜IT工作人员的网络犯罪活动、加密货币相关诈骗和恶意软件,以及针对Web3项目安全的研究和工具。
加密货币  安全漏洞  网络攻击  钓鱼  恶意软件  朝鲜IT工作人员 

通过混淆实现的安全通常是很差的安全

本文主要讨论了使用混淆技术来实现安全性的问题,作者通过举例说明了混淆技术在实际应用中的不足,并强调了在高度风险环境中,尤其是可能涉及生命损失的数据泄露事件中,必须采用数据加密和适当的访问控制。文章批评了使用隐藏标签等混淆手段的安全性,并强调了加密的重要性。
混淆  安全性  加密  数据泄露  恶意软件  JavaScript 

BlockThreat - 2025年第32周

本篇文章主要讨论了与加密货币相关的安全事件、漏洞和政策更新。内容涵盖 Tornado Cash 的法律风险,朝鲜黑客利用社交工程攻击加密项目的 TTPs,以及各种网络钓鱼、恶意软件和诈骗活动。此外,还包括对智能合约安全、AI 在代码审计中的应用以及相关工具的介绍。
Tornado Cash  网络钓鱼  恶意软件  智能合约安全  AI代码审计  朝鲜黑客 

USDT0 Polygon 集成审计

OpenZeppelin 对 Across 协议的 Polygon 合约进行了代码审计,以准备 USDT0 的推出。审计发现了两个中等严重性的问题:`Polygon_SpokePool` 中剩余过多的 gas,以及费用上限可能设置过低,可能导致跨链传输 USDT0 失败。这些问题已在后续的 pull request 中得到解决。
代码审计  跨链  Polygon  USDT0  LayerZero  OFT 

智能合约审计需要的思维模型

本文作者分享了智能合约安全审计的经验模型,强调了资源收集、智能合约概览、手动代码审查、功能测试、自动化审查、报告编写和修复代码审查等关键步骤。文章旨在帮助审计人员系统性地进行安全审计,并识别潜在的安全漏洞。
智能合约  安全审计  漏洞  代码审查  功能测试  自动化测试 

Certora 竞赛报告:Aquarius

本文是 Certora 对 Aquarius 项目进行的形式化验证竞赛报告,通过引入代码突变来评估参赛者编写的规范质量。报告详细列举了在 AccessControl、FeesController 和 Upgrade 等合约中发现的突变,展示了参赛者提交的高质量属性,并强调了发现的真实漏洞,如 Pending Upgrade 的 Code Hash 未被清除等问题。
形式化验证  智能合约  Certora Prover  代码突变  AccessControl  FeesController  漏洞 
  • Certora
  • 发布于 2025-08-27
  • 阅读 ( 318 )
  • ( 8 )

PoRv2:一种快速、透明的基于 ZK 的储备证明

本文介绍了PoRv2,一个基于零知识证明(ZKP)的快速、透明的储备证明系统,它结合了zk-proofs和Merkle树,允许用户在不需要外部审计的情况下验证交易所的负债。该系统使用plonky2 ZK算法,提高了效率和透明度,并提供了一个验证服务器以方便用户验证,旨在提高加密货币交易所的透明度和用户信任。
零知识证明  储备证明  zk-proofs  Merkle树  Plonky2  密码学  透明性 
  • osecio
  • 发布于 2025-08-27
  • 阅读 ( 782 )
  • ( 21 )

托管乐观预言机审计

这是一篇OpenZeppelin对UMA协议的ManagedOptimisticOracleV2代码仓库进行安全审计的报告。 审计发现了一些低风险问题,包括货币默认不接受债券、错误触发事件、缺少白名单合约的接口验证、缺少测试套件等。同时,报告也提出了代码改进建议,并指出了文档中存在的一些不准确之处。UMA团队已解决或确认了大部分问题。
智能合约  安全审计  Optimistic Oracle  UMA协议  代码审查  访问控制 

构建安全 Noir 电路的开发者指南

本文深入探讨了使用 Noir 构建零知识证明(ZKP)应用时常见的安全漏洞。文章详细分析了逻辑错误、有限域算术陷阱、意图与实现不符以及隐私泄露这四大类问题,并提供了具体的代码示例和审计关注点,旨在帮助开发者构建更安全可靠的 Noir 电路。
零知识证明  Noir  安全漏洞  有限域算术  隐私泄露  电路设计 

零时科技 || Equilibria 攻击事件分析

我们监控到 Ethereum 上针对 Equilibria 的攻击事件,本次攻击共造成约 63k USD 的损失。
黑客攻击  攻击事件  区块链安全 

威胁情报:Clickfix网络钓鱼攻击

该文章分析了一种名为Clickfix的网络钓鱼攻击,攻击者通过模仿常见的机器人验证,诱骗用户执行恶意命令,从而下载恶意软件。恶意软件具有信息窃取、键盘记录和C2通信等行为,最终目的是窃取用户的敏感数据,包括加密货币钱包私钥。建议开发者和用户对不熟悉的命令保持警惕,并在隔离环境中执行调试或命令。
Clickfix  网络钓鱼  恶意软件  信息窃取  键盘记录  C2通信 
  • slowmist
  • 发布于 2025-08-23
  • 阅读 ( 451 )
  • ( 12 )

利用图像缩放攻击生产环境中的AI系统

本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像,利用图像缩放算法的特性,在图像缩小时嵌入恶意提示,实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证,并提供了防御建议和开源工具Anamorpher。
图像缩放攻击  多模态提示注入  数据泄露  AI安全  Anamorpher  Gemini CLI 

你可能用错了 WebView:移动开发者常见的安全隐患

本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView  安全漏洞  加密货币钱包  用户界面攻击  来源欺骗  消息拦截 
  • zellic
  • 发布于 2025-08-22
  • 阅读 ( 1567 )
  • ( 76 )

Coinbase 2025 年 5 月事件中的运营安全教训

Coinbase 遭受了一起数据泄露事件,起因是不良行为者收买海外客服人员出售客户数据,攻击者利用获取的信息进行进一步的社会工程攻击。文章强调了零信任架构的重要性,以及数据分类和权限管理在保护敏感数据方面的作用。Web3 技术需要采用更严格的安全措施,才能吸引传统机构和主流投资者。
数据泄露  社会工程攻击  零信任架构  数据分类  权限管理  Web3 安全 
  • Certora
  • 发布于 2025-08-21
  • 阅读 ( 445 )

Echidna 验证与探索模式:利用 hevm 增强的符号执行

Echidna 通过集成 hevm 增强的符号执行能力,引入了两种新模式:验证模式(用于无状态测试,旨在证明不存在错误)和探索模式(结合符号执行与模糊测试,用于识别状态变化中的断言失败)。文章通过实例展示了这两种模式的应用,并讨论了符号执行的局限性以及未来的改进方向,例如改进用户界面、自动提取参数边界和建立基准测试。
Echidna  符号执行  模糊测试  hevm  智能合约安全  形式验证 

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理