全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

2025年智能合约十大漏洞(包含真实攻击案例及预防方法)

本文深入探讨了智能合约中十大最关键的漏洞,包括重入攻击、整数溢出/下溢、不当访问控制、抢跑攻击、拒绝服务(DoS)攻击、弱随机性、易受攻击的外部调用、逻辑错误、Oracle操纵和闪电贷攻击。文章详细解释了每种漏洞的成因、常见的攻击方式,并提供了相应的缓解措施和代码示例,强调了安全审计、使用安全库以及遵循最佳实践的重要性。
智能合约  漏洞  安全  重入攻击  整数溢出  访问控制 
  • hacken
  • 发布于 5天前
  • 阅读 ( 465 )
  • ( 62 )

区块链桥接安全 - 介绍与第一部分

本文是关于区块链桥接安全漏洞系列文章的开篇,主要介绍了跨链桥的基本概念,并通过一个示例项目概述了消息重放和签名重放两种常见的桥接漏洞,以及如何利用这些漏洞。
区块链桥  安全漏洞  消息重放  签名重放  EIP712  跨链 

BlockThreat - 2025 年第 47 周

DeFi 生态系统遭受多起攻击,总损失近 400 万美元,GANA 因私钥泄露损失超过 300 万美元,Aerodrome/Velodrome 遭受 DNS 劫持攻击,损失约 70 万美元。文章还讨论了第三方基础设施风险,Cloudflare 宕机暴露了互联网的脆弱性。此外,文章还介绍了 DeFi 安全峰会的内容,并提出了竞争性事件响应的概念,以及提供了一些安全工具和研究。
DeFi安全  漏洞  攻击  事件响应  智能合约  安全工具 

完美十分!React2Shell

React2Shell漏洞(CVE-2025-55182)允许未经身份验证的远程代码执行,CVSS评分为10分。受影响的版本包括React 19.0到19.2.0以及Next.js 15和16。Lachlan Davidson发现了这个漏洞,并提供了三个PoC。AWS检测到利用此漏洞的探测活动,建议立即进行补丁。
react  React2Shell  CVE-2025-55182  远程代码执行  漏洞  安全补丁 

【知识科普】| 虚拟币盗窃

虚拟币盗窃高发且手段隐蔽,核心风险为信息泄露、权限滥用、漏洞利用。防护需守 “不泄露私钥助记词、不点陌生链接、不授权未知 Dapp” 底线,选经安全审计的平台工具。若失窃,立即固定证据,联系专业机构追踪。
知识科普  区块链安全  虚拟币盗窃 

Wake Arena:AI驱动的审计服务

Wake Arena 是一个用于发现Solidity智能合约漏洞的服务,它通过多代理AI分析和图驱动推理实现。在历史审计竞赛中,Wake Arena 发现了95个高危漏洞中的43个,超越了Zellic的自动化扫描器和普通GPT-5。Wake Arena在审计工作流程中发现了关键漏洞和独特发现,并帮助客户优化代码和降低安全成本。
智能合约  漏洞  AI审计  形式验证  Solidity  安全 
  • Ackee
  • 发布于 3天前
  • 阅读 ( 152 )
  • ( 19 )

区块链桥安全 - 第 4 部分

本文是桥接安全系列的第四篇文章,主要讨论了桥接合约中存在的三个安全问题:链ID欺骗、哈希碰撞以及缺乏签名过期检查。通过具体的代码示例和测试用例,深入分析了这些漏洞的原理和潜在危害,并提出了相应的安全建议,例如在签名数据中包含过期时间戳,以防止恶意重放攻击。
区块链桥  安全漏洞  链ID欺骗  哈希碰撞  签名过期  智能合约安全 

区块威胁 - 2025年第49周

本周发生了四起安全事件,损失近 1100 万美元,其中 Yearn Finance 因整数下溢漏洞损失 900 万美元。React 存在安全漏洞,导致数千台主机被入侵并运行加密货币矿工。此外,攻击者利用 USDP 初始化劫持漏洞,造成 100 万美元的损失。
漏洞  攻击  安全事件  Yearn Finance  react  USDP 

区块威胁 - 2025年第48周

本周Upbit遭受攻击损失3680万美元;Shai Hulud发起大规模供应链攻击,影响超过25000个存储库和数百个npm包;Mixpanel数据泄露影响多个加密平台,包括CoinTracker和CoinDCX,需警惕新一轮网络钓鱼;中国央行重申禁止加密货币,并关注稳定币风险。
Upbit  Shai Hulud  供应链攻击  Mixpanel  数据泄露  网络钓鱼