全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Web3审计:不仅仅是寻找漏洞 – ImmuneBytes

文章讨论了Web3安全审计的重要性,强调了智能合约审计在防止黑客攻击和漏洞利用方面的关键作用。文章还探讨了审计师的角色,有效的审计流程,以及未来审计在安全设计咨询、实时监控、形式化验证和安全教育等领域的发展方向。
Web3  安全审计  智能合约  漏洞  代码安全  形式化验证 

揭示GameFi安全性:常见威胁和可靠解决方案

本文深入分析了GameFi领域面临的安全挑战,包括智能合约漏洞、token和NFT的风险以及跨链桥的漏洞,还讨论了链下安全问题,如基础设施漏洞和钓鱼攻击。文章提供了开发者和玩家可采取的缓解策略,并展望了GameFi安全性的未来,强调了AI驱动的安全、改进的代币经济模型和监管的重要性。
GameFi  区块链安全  智能合约  NFT  跨链桥  安全漏洞 

Solodit检查清单详解:矿工攻击

本文解释了矿工攻击,即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型:使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击,文章都提供了示例代码、漏洞解释、缓解措施以及测试用例,旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。
矿工攻击  block.timestamp  随机数生成  交易排序  前置交易  三明治攻击  MEV 
  • Cyfrin
  • 发布于 2025-05-02
  • 阅读 ( 563 )
  • ( 18 )

可扩展的`Safe`架构

本文档描述了一种可扩展的Safe架构,旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现,允许自定义方法调用和EIP-712签名验证,同时保持与现有Safe功能的向后兼容性,例如ERC-1271签名和Token回调,从而扩展Safe的功能,并允许更灵活的交互方式。
SafeProxy  ExtensibleFallbackHandler  EIP-712  代理合约  智能合约  签名验证 

Solana安全事件历史:深入研究

本文详细分析了2020年至2025年4月Solana生态系统中发生的主要安全事件,包括应用层漏洞、供应链攻击和核心协议问题。
Solana  漏洞  攻击  DeFi  安全事件  区块链安全 

使用加密密钥在 Hardhat 和 Foundry 中保护你的私钥

本文介绍了在智能合约开发中使用加密密钥的重要性,并提供了在 Hardhat 和 Foundry 框架中实现加密密钥的详细步骤。文章强调了明文存储密钥的风险,并提供了使用 AES 等加密技术保护密钥的方法,同时推荐了密钥管理和安全开发的最佳实践。
加密密钥  Hardhat  Foundry  智能合约  密钥管理  安全开发 
  • QuickNode
  • 发布于 2025-04-30
  • 阅读 ( 767 )
  • ( 43 )

揭露多重签名诈骗:加密货币安全入门指南

本文深入探讨了加密货币中多重签名(multisig)钱包的安全问题,揭示了诈骗者如何利用多重签名钱包的机制进行欺诈,包括交易费用陷阱、网络钓鱼、虚假多重签名服务等,并提供了防范多重签名诈骗的实用方法,强调了安全私钥、使用可信软件、定期审计钱包权限的重要性。文章还通过实例展示了如何在以太坊上创建多重签名钱包,并提供了应对诈骗的建议
多重签名钱包  Multisig钱包  加密货币安全  Tron网络  智能合约安全  区块链安全 

Zora空投漏洞利用:深入研究12.8万美元的申领合约攻击

Zora的NFT空投系统中的一个漏洞允许攻击者通过利用薄弱的声明检查来窃取代币。攻击者利用0x Settler合约的basicSellToPool功能,使得ZoraTokenCommunityClaim合约将0x的ZORA代币分配转移到了攻击者的地址。这次攻击暴露了智能合约设计中安全性的重要性,并强调了严格的访问控制的必要性。
智能合约  漏洞  攻击  以太坊  空投  权限控制 

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中提供的各种实用工具,包括密码学(签名验证,包括ECDSA、P256和RSA)、Merkle证明验证、接口自省(ERC-165)、数学运算、数据结构(如BitMaps、EnumerableSet、MerkleTree等)、数据打包、底层存储槽操作(StorageSlot)、Base64编码以及多重调用(Multicall)等功能。
ECDSA  P256  RSA  Merkle证明  ERC-165  多重调用  StorageSlot 

预编译对齐错误:根本原因分析 - Anza

Agave的ed25519和secp256r1预编译程序中存在一个bug,该bug在新版v2.2引入的`--transaction-structure view`选项的验证器中被暴露。
Ed25519  secp256r1  预编译程序  交易结构体  Agave  漏洞 
  • Anza
  • 发布于 2025-04-25
  • 阅读 ( 442 )
  • ( 14 )

为什么形式化验证是DeFi和Web3安全的必需品

本文强调了形式化验证(FV)在Web3和DeFi安全中的重要性,指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行,能预防高危漏洞,并已在多个知名DeFi项目中应用,同时建议将FV尽早集成到开发生命周期中,以提升代码质量和安全性。
形式化验证  Web3  DeFi  安全  智能合约  漏洞 
  • Certora
  • 发布于 2025-04-25
  • 阅读 ( 776 )
  • ( 31 )

使用 safe-utils 和 tenderly-utils 自动化你的安全运营

本文介绍了如何使用 safe-utils 和 tenderly-utils 这两个 Foundry 模块来简化协议的治理流程,尤其是在涉及 Safe 多签账户的场景下。
多重签名  智能合约  Foundry  治理  测试网络  模拟 
  • Recon
  • 发布于 2025-04-25
  • 阅读 ( 847 )
  • ( 57 )

Solana账户粉尘攻击与地址投毒

该文章深入探讨了Solana区块链上两种新兴的欺诈形式:基于域名的粉尘攻击和外科手术式地址投毒攻击。文章详细解释了这两种攻击方式的原理、识别方法,以及如何通过建立工具来检测和预防这些攻击。文章强调,通过简单的逻辑和可扩展的方法,可以在钱包层面有效减少这些攻击。
Solana  粉尘攻击  地址投毒  域名  钱包安全  区块链安全 

创建一个 Action Workflow 以减少 Box 合约中的对象数量 - OpenZeppelin 文档

本文介绍了如何使用 OpenZeppelin Defender 创建一个 Action Workflow,用于监控 Box 合约中对象的数量,并在添加对象时自动移除对象,保证合约中对象数量的平衡。文章详细介绍了Action的设置、Workflow的设置、Monitor的设置,以及如何在 Sepolia 测试网上进行实际操作。
OpenZeppelin Defender  Action Workflow  智能合约  监控  自动化  Sepolia 

为什么SDK审计对Web3安全至关重要

本文讨论了Web3安全中SDK审计的重要性,强调了SDK作为连接dApp、钱包和区块链网络的关键层,其安全性常常被忽视。文章详细解释了SDK审计的定义、与智能合约和OpSec审计的区别,以及SDK审计的具体流程和评估领域,并列举了现实世界中SDK漏洞的案例,突出了进行SDK审计的必要性。
SDK审计  web3安全  智能合约  漏洞  供应链攻击  密码学 

选择审计竞赛:如何识别“灵丹妙药”

本文分析了审计竞赛平台常见的营销误导策略,包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时,关注透明度、沟通和有效指标,并提出了一系列问题,帮助读者识别并避免这些误导,从而选择真正能提高代码安全性的平台。
审计竞赛  安全研究  漏洞  智能合约  代码安全  安全审计 
  • zellic
  • 发布于 2025-04-23
  • 阅读 ( 908 )
  • ( 35 )

DeFi黑客复现 - Foundry

该文档整理了2023年DeFi领域发生的安全事件,总共包含214起。每一条事件都列出了被攻击的项目名称、攻击日期、攻击类型、损失金额,以及复现漏洞的 Foundry 测试代码,和相关参考链接,可以帮助安全研究人员快速了解DeFi安全态势。
DeFi  安全漏洞  智能合约  攻击事件  Foundry  漏洞复现 

你的dApp是否足够安全,可以在链上运行?

本文探讨了Web3开发中常见的智能合约漏洞,并提供了防范措施。文章详细分析了重入攻击、数据溢出和下溢,以及价格预言机操纵这三种经典漏洞的原理、攻击方式和修复方法。此外,文章还介绍了Chainlink等工具在降低预言机操纵风险方面的应用,强调了安全第一的开发理念。
重入攻击  数据溢出  数据下溢  价格预言机  Chainlink  智能合约安全 

DeFi 中的舍入误差:1 Wei 如何让你损失数百万美元

DeFi领域中的rounding errors漏洞依然普遍存在,可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因,并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞,强调了Formal Verification在保障DeFi协议安全中的作用。
Rounding Errors  Formal Verification  DeFi安全  智能合约  Juice Finance  漏洞 
  • Certora
  • 发布于 2025-04-22
  • 阅读 ( 1080 )
  • ( 26 )

Tornado Cash 案:起诉代码不是正义

Roman Storm 因为开发开源代码 Tornado Cash 面临联邦监狱的刑罚,该工具旨在以太坊区块链上进行隐私交易。检察官指控他参与“无牌经营汇款业务”的犯罪阴谋。文章批判了政府对开源软件开发者施加不合理的法律责任,认为这种行为威胁了技术创新。
Tornado Cash  隐私交易  开源代码  反洗钱  监管  刑事指控 
  • Paradigm
  • 发布于 2025-04-22
  • 阅读 ( 938 )
  • ( 5 )