全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

攻破与防御去中心化系统的艺术 – ImmuneBytes

本文深入探讨了区块链安全,指出其不仅仅是代码层面的问题,更是一场策略性的对抗游戏。攻击者总是先行动,通过信息不对称、信号传递和多轮攻击等手段,利用防御者的盲点和激励机制漏洞。文章强调,成功的防御需要理解攻击者的策略,并设计能够打破其游戏规则的防御机制。
区块链安全  对抗博弈论  MEV  跨链桥  治理攻击  信息不对称 

Solodit Checklist详解:重放攻击

本文主要介绍了重放攻击的概念、原理以及防范措施。重放攻击是指攻击者恶意重复使用有效的交易或签名,从而导致未经授权的状态变更。文章通过Solodit Checklist中的两个条目,详细讲解了如何利用nonce、链ID和域名分隔符等技术手段,防止重放攻击,从而保障智能合约的安全。
重放攻击  nonce  链ID  EIP-712  域名分隔符  签名 
  • Cyfrin
  • 发布于 2025-06-11
  • 阅读 ( 377 )
  • ( 12 )

Web3应用为何需要全栈安全审查 – ImmuneBytes

Web3应用的安全不能只关注智能合约审计,而应该进行全栈安全审查,包括前端渗透测试、钱包安全、预言机安全、后端安全和外部库安全。攻击者会利用任何层面的漏洞来获取访问权限或转移资产,因此需要对整个产品进行安全审计。
智能合约审计  DApp安全  全栈安全  渗透测试  钱包安全  预言机 

AI 诈骗系列:第四部分 - 交易机器人诈骗、虚假 DeFi 与链上取证

本文揭露了利用AI进行诈骗的常见手段,包括伪造交易机器人和DeFi平台。这些诈骗项目通过虚假数据和精心设计的界面来欺骗用户,最终导致资金损失。文章还介绍了链上分析技术,如GNN和操作码指纹识别,用于追踪和识别这些诈骗行为,并强调了保持怀疑态度和进行独立验证的重要性。
AI诈骗  DeFi  链上分析  GNN  操作码指纹  交易机器人 

BlockThreat - 2025年第23周

本周,超过1700万美元的资金在四起独立事件中被盗,其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞,而Marinade Finance遭受了一起500万美元的市场操纵计划,该计划持续了数月未被发现。此外,还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。
区块链安全  漏洞  黑客攻击  网络钓鱼  恶意软件  加密货币 

坚不可摧Damn Vulnerable Defi V4 解决方案系列

本文分析了Damn Vulnerable Defi V4挑战中的Unstoppable Vault漏洞。
以太坊  智能合约  漏洞  DeFi  flash loan  ERC4626 

AI 钓鱼系列:第三部分 - Web3 中的深度伪造、语音克隆和社交工程

攻击者利用深度伪造和克隆声音来伪造代言并耗尽钱包,AI诈骗正在利用Web3中的信任。文章介绍了GAN和扩散模型在制造Meme coins以及语音克隆诈骗中的应用,并探讨了检测和缓解工具,包括内容来源验证和异常检测,并强调了双因素验证和实时性检测的重要性。
深度伪造  语音克隆  web3安全  AI诈骗  内容验证  双因素验证 

错误处理 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Monitor的结构化错误处理系统,该系统提供了丰富的上下文信息和跨服务边界的跟踪能力。文档通过实例展示了错误如何在系统中传播,并详细描述了错误结构,包括错误上下文和特定于域的错误类型。此外,还提供了错误处理指南,说明了何时使用哪种模式来创建和跟踪错误,例如跨域边界时转换为特定于域的错误类型,以及使用`with_context()`添加信息。
错误处理  OpenZeppelin Monitor  错误上下文  错误类型  Rust语言  区块链监控 

什么是重放攻击?

本文解释了重放攻击的概念,即恶意行为者捕获并重新传输有效数据以实现欺诈性身份验证或执行网络中未经授权的操作。文章通过在线银行、无钥匙汽车进入和网络身份验证等示例,详细说明了重放攻击的工作原理,并介绍了使用唯一标识符、时间戳和多因素身份验证等方法来预防重放攻击。
重放攻击  网络安全  身份验证  多因素身份验证  时间戳  唯一标识符 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 345 )
  • ( 22 )

跨链桥的七个关键安全漏洞分析

本文探讨了跨链桥的七个关键安全漏洞,包括私钥管理不善、未经审计的智能合约、不安全的升级流程、单一网络依赖、未经验证的验证器集、缺乏主动交易监控和缺乏速率限制。文章强调了Chainlink CCIP通过分层安全措施提供无与伦比的跨链安全性。
跨链桥  安全漏洞  私钥  智能合约  速率限制  Chainlink CCIP 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 349 )
  • ( 28 )

AI 钓鱼系列:第二部分 - 钱包盗取工具内幕与 EIP-7702 漏洞利用

本文深入探讨了Web3中钱包盗取工具的演变,特别关注了EIP-7702如何被利用于自动化、规避检测和大规模盗窃。文章分析了钱包盗取工具的原理、EIP-7702带来的新型钓鱼风险,以及攻击者如何利用自动化和语言模型来扩大攻击规模,并提出了相应的防御策略,最后通过一个真实案例“Inferno Drainer Reloaded”来说明了问题。
钱包盗取  EIP-7702  钓鱼攻击  web3安全  智能合约安全  交易签名 

什么是女巫攻击?

本文介绍了女巫攻击的概念、原理、类型(直接和间接攻击),以及它们对区块链网络的威胁。文章还讨论了以太坊经典和Verge等区块链网络上发生的女巫攻击案例,并探讨了通过密码经济安全、声誉系统和身份验证等方法来预防和防御女巫攻击的机制。
女巫攻击  Sybil攻击  区块链安全  51%攻击  密码经济学  声誉系统 
  • Chainlink
  • 发布于 2025-06-07
  • 阅读 ( 223 )
  • ( 11 )

Helius 获得 SOC 2 Type II 认证

Helius宣布成功完成SOC 2 Type II审计,获得Sensiba LLP的“clean”审计意见。这表明helius在安全性、可用性、处理完整性、保密性和隐私性方面符合高标准,并承诺持续提升Solana生态系统的安全性和合规性。同时,helius也欢迎用户报告其系统的安全漏洞。
SOC 2  审计  Solana  安全  合规性  数据安全 
  • Helius
  • 发布于 2025-06-06
  • 阅读 ( 425 )
  • ( 7 )

Web3 中的 AI 网络钓鱼:第一部分 - 诈骗如何从电子邮件演变为 GenAI 黑客攻击

本文探讨了Web3网络钓鱼攻击的演变,从早期的电子邮件诈骗发展到如今的深度伪造AI威胁、token提取器和自动钱包攻击。文章详细分析了区块链时代的新型网络钓鱼手段,Web3 威胁载体、以及AI技术如何被用于增强网络钓鱼攻击的各个方面。
Web3  网络钓鱼  AI  区块链  加密货币  token提取器 

潘多拉魔盒:不受限制的LLM如何威胁加密货币安全

文章探讨了不受限制的大型语言模型(LLMs)的兴起及其在加密货币领域的滥用。攻击者利用这些模型进行网络钓鱼、恶意代码生成和社会工程攻击。WormGPT、DarkBERT、FraudGPT、GhostGPT和Venice.ai等工具被用于各种恶意活动,包括创建虚假项目、生成钓鱼页面和自动化诈骗活动。文章最后强调了加强检测能力、提高防越狱能力以及建立道德和监管保障措施的重要性。
大型语言模型  网络安全  恶意软件  网络钓鱼  诈骗  加密货币 
  • slowmist
  • 发布于 2025-06-05
  • 阅读 ( 379 )
  • ( 17 )

2025年6月区块链安全与教育新闻简报

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报,内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。
区块链安全  DeFi  漏洞  模糊测试  智能合约  Web3 安全 
  • Cyfrin
  • 发布于 2025-06-05
  • 阅读 ( 609 )
  • ( 29 )

BlockThreat - 2025年第22周

本周发生了多起加密货币安全事件,损失超过1200万美元,其中 Cork Protocol 遭受的攻击最为严重,攻击手段包括权限控制不足和奖励操纵等。文章强调了重复出现的攻击向量,并列出了前10名常见的攻击类型,呼吁业界关注并采取更全面的安全措施,同时还报道了其他加密货币领域的犯罪、诈骗和恶意软件事件。
漏洞利用  攻击向量  权限控制  预言机操纵  私钥泄露  网络钓鱼 

SUI生态DEX #Cetus 受攻击,代码安全审计真的足够吗?

此次Cetus受攻击的原因及影响暂时还不清楚,我们可以先看一下Cetus的代码安全审计情况。外行咱们看不懂具体的技术,但是这个审计摘要是能看懂的。➤Certik的审计来看,Certik对Cetus的代码安全审计,只发现2个轻度危险、且已解决。还有9个信息性风险,6个已解决。Cer
  • TVBee
  • 发布于 2025-06-04
  • 阅读 ( 549 )
  • ( 15 )

理解EIP-7702钓鱼攻击:钱包保护策略综合指南

本文深入分析了利用EIP-7702的钓鱼攻击,特别是攻击者如何利用MetaMask的7702批量执行功能,诱导用户授权恶意交易,从而造成重大资产损失的情况。文章详细阐述了MetaMask的7702 Delegator授权机制和安全架构,并通过案例分析揭示了InfernoDrainer等团伙的作案手法,最后针对钱包提供商和用户提出了具体的安全建议,以防范此类攻击。
EIP-7702  钓鱼攻击  MetaMask  Delegator合约  批量交易  智能合约 

Solodit清单详解:重入攻击

本文深入探讨了智能合约中重入攻击的原理、危害以及防御方法。文章通过具体的代码示例,详细解释了经典重入攻击和只读重入攻击的利用方式和防范措施,强调了Check-Effects-Interactions模式和重入锁Guard在保障智能合约安全中的重要性。尤其针对view函数在特定情况下可能返回过期数据的问题提出了应对方案。
重入攻击  智能合约  Check-Effects-Interactions  重入锁  ReentrancyGuard  只读重入 
  • Cyfrin
  • 发布于 2025-06-04
  • 阅读 ( 572 )
  • ( 30 )