全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Axiom Halo2 电路深入研究

本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算,并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞,包括可能破坏系统安全性的soundness和under-constrained问题。
零知识证明  Halo2  以太坊  安全审计  区块链  密码学 

为什么创始人应该在早期Web3项目中优先考虑安全性

本文主要针对早期Web3项目的创始人,强调了项目初期就重视安全性的重要性。文章阐述了早期忽视安全可能导致的严重后果,例如资金损失、用户信任崩塌等,并提供了在项目早期阶段提升安全性的 practical checklist,包括安全设计、代码标准、测试、前端安全及团队操作安全等。
web3安全  智能合约安全  安全审计  早期项目  风险控制  前端安全 

超越智能合约:深入探讨区块链基础设施安全审计

本文探讨了区块链基础设施安全的重要性,解释了它与智能合约安全的不同之处,并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险,例如验证节点、数据可用性层、执行客户端和P2P网络,以及如何采用系统性的方法来识别和缓解这些风险,确保区块链网络的整体安全。
区块链  基础设施  安全审计  智能合约  攻击面  漏洞 

托管稳定币Rekt测试

本文针对托管稳定币发行商提出了一个安全评估框架,称为“托管稳定币 Rekt 测试”,包含九个关键问题,旨在帮助用户评估发行商的运营弹性,并帮助发行商识别安全程序的关键差距。强调了在稳定币发行中,运营安全的重要性,并提供了具体的实践建议,以应对新兴威胁,保护用户资金安全。
稳定币  安全  风险评估  托管  数字资产  Rekt测试 

披着羊皮的狼:Osiris恶意浏览器扩展分析

Osiris 浏览器扩展伪装成 Web3 安全工具,通过替换下载链接传播恶意软件,窃取用户的加密资产。该扩展利用 Chrome 的显示缺陷欺骗用户,并利用 `chrome.declarativeNetRequest` API 动态配置网络请求规则,拦截并替换匹配模式的网络请求。
恶意软件  浏览器扩展  网络钓鱼  Web3 安全  数字资产  Osiris 
  • slowmist
  • 发布于 2025-05-29
  • 阅读 ( 426 )
  • ( 29 )

Beraborrow 被遗漏的漏洞

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞,该漏洞通过模糊测试发现,但在安全竞赛中被遗漏。该漏洞与舍入误差有关,导致每个 Vault 份额的价格意外下降,从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。
模糊测试  Beraborrow  Liquity  Recovery Mode  舍入误差  ERC4626 
  • Recon
  • 发布于 2025-05-29
  • 阅读 ( 577 )
  • ( 20 )

从Web3开发者到智能合约审计员:当已知标准背叛你

本文分析了多个利用智能合约标准(如ERC777、ERC20 Permit、ERC1155、EIP-2535等)漏洞进行攻击的案例,强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等,并建议采取多层次验证措施,如单元测试、模糊测试和模拟攻击,以降低漏洞风险。
智能合约安全  ERC-20  ERC-777  ERC-1155  EIP-2612  EIP-2535  漏洞  攻击  重入攻击  代理合约 

Fairblock:不可腐蚀的市场和隐私稳定币

本文深入探讨了Fairblock这一动态保密计算平台,旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案,结合多方计算(MPC)、同态加密(HE)等加密技术,为DeFi、AI和博弈等应用实现链上保密,构建一个值得信任且无腐败的市场环境,从而推动机构采用和更广泛的Web3应用。
Fairblock  链上保密  多方计算  同态加密  FairyRing  FairyKit 

企业加密资产安全运营:公司综合指南

本文为企业提供了全面的加密资产安全运营指南,涵盖私钥管理、企业钱包安全、钓鱼和社会工程防范、网络和基础设施安全等多个方面。强调了多重签名、冷钱包、网络分段、端点保护等关键措施,旨在帮助企业降低加密资产被盗风险,确保合规。
私钥管理  企业钱包安全  网络安全  钓鱼  多重签名  冷钱包 

向后兼容性 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库在不同版本之间的向后兼容性保证,包括API和存储布局的兼容性。文章解释了在patch和minor版本更新中通常会保持向后兼容,但某些情况下可能会有例外,特别是涉及到安全问题或draft状态的ERC标准时。同时提醒了override函数、struct结构体以及错误处理等方面需要注意的问题,并强调了major版本更新通常不保证兼容性。
向后兼容性  OpenZeppelin Contracts  API  存储布局  语义化版本控制  Solidity 

加密货币涨,绑架案涨?——剖析2022年至2025年的案例

该文章分析了2022年至2025年涉及加密货币盗窃的暴力犯罪案件,特别是绑架案的增加趋势,以及这些犯罪与加密货币市场价格的相关性。文章还探讨了不同国家(如法国和泰国)的犯罪模式,强调了加密货币持有者面临的安全风险,并建议采取谨慎的隐私措施。
加密货币  盗窃  绑架  安全  比特币  犯罪 

Contracts Wizard 部署插件 - OpenZeppelin 文档

该文档介绍了如何使用Contracts Wizard Deploy Plugin将智能合约直接部署到OpenZeppelin Defender账户。内容涵盖API密钥的生成、在Contracts Wizard中的配置、网络选择、审批流程设置以及合约的部署过程,包括确定性部署的配置。还介绍了完成部署后的后续步骤,并提供了反馈渠道。
智能合约  OpenZeppelin Defender  Contracts Wizard  部署  API密钥  确定性部署 

企业加密资产运营安全:公司综合指南

本文全面介绍了企业级加密资产运营安全(OpSec)的各个方面, 包括私钥管理、企业钱包安全、网络分段、安全基础设施设计、隐私与合规以及事件响应。文章强调了多层防御体系的重要性,例如多重签名策略、员工培训以及持续监控和审计,旨在帮助企业降低加密资产损失的风险,并确保符合相关法规要求。
运营安全  OpSec  私钥管理  企业钱包安全  网络分段  安全基础设施  GDPR  CCPA  KYC/AML 

零时科技 || Cetus 攻击事件分析

我们监控到 SUI 上针对 Cetus 的攻击事件,攻击共造成 223M USD 的损失
黑客攻击  攻击事件  web3安全 

从 Web3 开发者到智能合约审计员:数学、数组、Calldata 等中的开发者失误

本文总结了智能合约开发中常见的由于开发者疏忽导致的漏洞,例如整数溢出、数组越界访问、重入攻击等。文章列举了多个真实案例,并提供了一个检查清单,帮助开发者和审计人员在开发和审计过程中避免这些低级错误。此外,文章还推荐了Slither、MythX等静态分析工具和Echidna、Foundry-fuzz等模糊测试工具,以帮助开发者在早期发现和修复潜在的漏洞。
智能合约  漏洞  安全审计  重入攻击  整数溢出  模糊测试 

Solana 黑客攻击、漏洞和安全漏洞:完整历史

本文全面回顾了2020年至2025年第一季度 Solana 的安全事件,详细分析了事件的根本原因、影响、应对措施和补救措施。文章将安全事件分为应用漏洞、供应链攻击、网络层攻击和核心协议漏洞四类,并统计了各类事件的频率和造成的经济损失。最后总结了 Solana 在安全响应方面的演进,包括更快的响应时间、更有效的修复策略以及生态系统层面的改进。
Solana  安全事件  漏洞  攻击  区块链安全  DeFi安全 
  • Helius
  • 发布于 2025-05-24
  • 阅读 ( 263 )
  • ( 13 )

Mobius代币爆炸性漏洞利用:铸造数万亿MBU的漏洞

Mobius项目由于智能合约中的一个漏洞,攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中,计算代币数量时的一个乘法运算缺少了除以10^18的步骤,导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞,从零地址铸造了大量的MBU,并通过一系列操作将资金转移。
智能合约  漏洞  代币增发  MBU代币  以太坊  区块链安全 

Cetus AMM 2亿美元黑客攻击:有缺陷的“溢出”检查如何导致灾难性损失

Cetus AMM 在 Sui 网络上遭受了 2 亿美元的黑客攻击,根本原因是流动性计算函数中的一个缺陷,该缺陷未能正确检测大数值计算中的溢出。攻击者利用此漏洞以极低的成本创建了大量的流动性头寸,并随后排干了资金池。该漏洞之前在 Aptos 的代码中就被发现过,但在移植到 Sui 时被重新引入。
Sui  Cetus AMM  溢出漏洞  流动性  DeFi  攻击 
  • Dedaub
  • 发布于 2025-05-23
  • 阅读 ( 636 )
  • ( 94 )

案例研究:Lomads DApp 安全性审查 – ImmuneBytes

Lomads 是一个去中心化自治组织(DAO)创建和管理平台,通过多重签名安全、SWEAT 积分等功能促进社区协作。该平台进行了一次全面的渗透测试,以确保其安全性。测试发现了未经授权的 DAO 详细信息修改、多重签名安全状态切换、XSS 漏洞等关键问题。Lomads 迅速修复了这些问题,并加强了未来的安全措施。
DAO  渗透测试  多重签名  XSS  访问控制  安全漏洞 

BitsLab“Web3 护航计划”安全团队发现并已协助 Meme 交易平台 Android App 修复任意账号接管漏洞

5月21日,由BitsLab发起的'Web3护航计划'中的安全团队发现某知名Meme交易平台AndroidApp中存在任意账户接管漏洞,并协助其完成修复。通过对APP的审计发现其使⽤了第三⽅浏览器组件,该组件的onCreate⽅法中存在IntentRedirec
  • BitsLab
  • 发布于 2025-05-22
  • 阅读 ( 220 )