全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

零时聚焦 || 2025 年上半年 web3 链上安全态势分析报告

Web3 区块链领域发生重大安全事件 87 起,因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的经济损失达 22.9 亿美元
黑客攻击  钓鱼攻击  web3安全 

BlockThreat - 2025年第26周周报

本周发生了多起安全事件,Resupply和Silo Finance损失惨重,攻击源于常见的漏洞,即利用空市场的舍入误差来铸造过多的协议代币。此外,MEV机器人的访问控制不足和函数参数验证不严也导致了损失。文章还提到了Unphishable项目,旨在帮助用户识别和避免常见的Web3网络钓鱼攻击。
漏洞  安全事件  MEV  网络钓鱼  智能合约安全  区块链安全 

GitHub 上一个流行的 Solana 工具暗藏加密货币盗窃陷阱

SlowMist 安全团队分析了一起用户因使用 GitHub 上的恶意开源项目 solana-pumpfun-bot 而导致钱包资产被盗的事件。攻击者通过伪造流行的项目,并嵌入恶意依赖 crypto-layout-utils,诱使用户下载并运行,从而窃取用户的私钥。分析发现攻击者使用多个 GitHub 账号分发恶意软件,并通过链上 AML 工具追踪到被盗资金流向 FixedFloat 交易所。
Solana  供应链攻击  npm  恶意软件  私钥泄露  社会工程学 
  • slowmist
  • 发布于 2025-07-05
  • 阅读 ( 1405 )
  • ( 40 )

使用 Claude 进化专业 AI 智能合约审计工具

本文介绍了一个名为Amy的开源智能合约审计工具,它使用AI并通过“Priming”技术不断自我进化,专注于Vault / ERC4626智能合约协议的审计。文章还讨论了Amy与人类审计师和静态分析工具的比较,以及Amy的局限性和未来发展方向,例如创建更多专业化的AI审计工具。
智能合约审计  AI  ERC4626  Vault协议  代码安全  漏洞检测 
  • Dacian
  • 发布于 2025-07-05
  • 阅读 ( 1719 )
  • ( 41 )

EVM 任意调用审计要点

本文探讨了智能合约审计中任意调用(Arbitrary Calls)的风险,指出合约若存在任意调用,则不应包含 transfer/transferFrom/approve 等操作,否则可能导致代币被盗。文章还列举了需要检查的要点、安全假设以及应对措施,强调了防范利用任意调用漏洞的重要性。
智能合约  审计  任意调用  安全漏洞  重入攻击  delegatecall 

第二部分:如何保护你的智能合约免受状态膨胀和Gas消耗攻击

本文深入探讨了智能合约中高级拒绝服务(DoS)攻击,重点介绍了状态膨胀和Gas消耗攻击(Gas Griefing)的原理、攻击方式以及实际案例,并通过代码示例展示了如何通过限制状态增长、批量处理数据、实施熔断机制等手段来构建具有DoS防御能力的智能合约。
智能合约安全  DoS攻击  状态膨胀  gas消耗攻击  Solidity  以太坊 

漏洞搜寻:零知识、充分偏执与反向凝视的AI - ZKSECURITY

本文探讨了AI在零知识电路和应用程序中发现漏洞的能力,zkSecurity开发了一款名为SnarkSentinel的AI驱动的ZK审计工具。
AI  零知识证明  审计  漏洞检测  SnarkSentinel  上下文工程 

安全 - 慢雾 - Slowmist

该报告总结了2025年上半年区块链安全领域的关键发现,包括安全事件回顾、欺诈手段、反洗钱形势、监管发展以及被冻结和追回的资金情况。报告强调了合规的重要性,并分析了Lazarus Group、Drainers和HuionePay等组织的活动及混币器的使用情况。
区块链安全  反洗钱  欺诈  漏洞  监管  加密货币 
  • slowmist
  • 发布于 2025-07-03
  • 阅读 ( 1217 )
  • ( 35 )

慢雾:2025年Q2 MistTrack被盗资金分析

本文是慢雾科技发布的2025年Q2被盗资金报告,分析了429起用户提交的被盗资金案例,揭示了包括假冒硬件钱包、EIP-7702钓鱼、恶意浏览器扩展、微信账号劫持和社会工程攻击等多种盗窃手段,并提出了相应的防范建议,旨在帮助用户更好地了解和防范安全风险,保护自己的资产。
钓鱼攻击  硬件钱包  EIP-7702  浏览器扩展  社会工程学  资金盗窃 
  • slowmist
  • 发布于 2025-07-03
  • 阅读 ( 1399 )
  • ( 32 )

Cyfrin 2025年7月区块链安全与教育新闻通讯

Cyfrin发布了2025年7月的区块链安全和教育新闻通讯,内容涵盖了新的GMX交易课程、职业发展方向、Web3钱包安全课程和资格认证、Solodit更新以及CodeHawks Eagles的成功案例。此外,还包括高风险攻击事件的分析、Solana程序执行的深入探讨、以及关于使用EIP-7702从受损钱包中恢复资产的Bash脚本。
区块链安全  智能合约审计  DeFi安全  Web3钱包  Solidity  漏洞 
  • Cyfrin
  • 发布于 2025-07-03
  • 阅读 ( 1779 )
  • ( 46 )

Foundry作弊码第7部分:不变性测试详解

本文介绍了Foundry中的不变性测试,这是一种状态模糊测试,用于验证智能合约在随机调用序列下是否始终满足预定义的规则。通过编写以`invariant_`为前缀的测试函数,Forge会自动生成随机交易序列来尝试违反这些规则,从而帮助开发者在早期发现潜在的逻辑错误和安全漏洞。
Foundry  不变性测试  模糊测试  智能合约  安全  EVM 

打破 Gas 陷阱:保护智能合约免受拒绝服务攻击

本文是智能合约安全系列文章的第一部分,主要讨论了智能合约中拒绝服务(DoS)攻击的威胁与防范。文章通过实际案例Fomo3D,讲解了DoS攻击如何利用以太坊的gas限制使合约不可用,并重点介绍了利用无限制循环和外部调用失败两种主要攻击手段。文章还提供了使用“拉取而非推送”模式、限制状态增长、熔断器等多种缓解措施,以及Slither、MythX、Foundry等高级工具,以构建更具弹性的智能合约。
拒绝服务攻击  DoS攻击  智能合约安全  Solidity语言  以太坊  Gas限制 

高级 Foundry 作弊码系列:第 6 部分 - 使用 Forge 进行高级模糊测试

in  Foundry 高级作弊码系列
本文是Advanced Foundry Cheatcodes系列文章的第六部分,介绍了 Foundry 的高级模糊测试功能,通过随机输入参数自动发现智能合约的边缘情况,包括溢出、回滚等问题。文章还涉及了如何使用 forking cheat-codes 与主网合约交互,以及如何通过 vm.assume 和 bound() 来缩小输入范围,从而提高测试效率。
Foundry  模糊测试  智能合约  边缘情况  EVM  Invariant Testing 

SafePal x GoPlus 联合报告

SafePal 和 GoPlus 联合研究发现针对钱包用户的钓鱼攻击迅速增长,主要包括假冒网站、应用、客服和社交媒体账号等。文章详细分析了这些钓鱼攻击的手段,并提供了相应的防范措施,例如验证官方网站、避免点击不明链接、保护敏感信息等,旨在帮助用户提高安全意识,防范资产损失。
钓鱼攻击  钱包安全  SafePal  GoPlus  私钥  助记词 

将威胁建模作为战略开发工具 - Optimism

本文介绍了OP Labs进行威胁建模的方法,旨在帮助读者识别和缓解加密协议中的安全风险。该方法通过构建“结果树”来分析潜在的安全漏洞,评估事件发生的可能性,并制定相应的缓解措施,以确保软件安全发布。OP Labs 通过这个方法,确保他们专注于正确的事情,以安全地发布软件。
威胁建模  安全风险  加密协议  风险评估  安全措施  漏洞 

L1协议和智能合约的模糊测试:检测漏洞

本文深入探讨了Layer 1协议测试的复杂性,并着重介绍了模糊测试(Fuzzing)作为一种有效的解决方案,用于发现和缓解区块链系统协议层的安全漏洞。文章还分享了Hacken团队在Minima项目中使用模糊测试发现关键漏洞的案例,并讨论了模糊测试的优缺点,强调了其在区块链安全审计中的重要作用。
模糊测试  fuzzing  Layer 1  区块链安全  智能合约  漏洞 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 66 )

区块链安全:常见漏洞及防护方法

本文深入探讨了区块链架构的五个主要层级(基础设施层、数据层、网络层、协议层和应用层),详细分析了每个层级中常见的安全漏洞,如长程攻击、女巫攻击、加密攻击等,并提供了针对性的防御措施。文章强调了区块链安全的重要性,并建议开发者在构建区块链时堵塞所有漏洞。
区块链架构  安全漏洞  协议层  网络层  数据层  基础设施层 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 170 )

跨链桥安全

本文深入探讨了跨链桥的工作原理、安全风险以及常见的攻击方式。文章指出,尽管跨链桥是实现不同区块链互操作性的关键,但同时也面临着巨大的安全挑战,例如智能合约漏洞、私钥泄露和验证器接管等,并强调了安全审计、渗透测试和漏洞赏金计划对于提高跨链桥安全性的重要性。
跨链桥  区块链安全  智能合约  漏洞  安全审计  渗透测试 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 73 )

【安全月报】| 6月份因黑客攻击、诈骗等导致损失约1.84亿美元

6月,加密货币领域因黑客攻击、诈骗和漏洞利用,损失金额约达1.84亿美元。其中,黑客攻击事件尤为突出,共发生了15起。
安全月报  黑客攻击  网络钓鱼 

区块链中的双重支付及其预防方法

本文深入探讨了区块链中的双重支付问题,解释了其原理、攻击方式(如Finney攻击、竞争攻击、51%攻击),以及区块链和用户如何防范双重支付攻击。文章还提到了拜占庭将军问题与双重支付的关联,以及通过协议审计来发现和修复漏洞的重要性。
双重支付  区块链安全  Finney攻击  51%攻击  共识机制  UTXO 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 62 )