安全

本文深入探讨了任意消息桥（AMB）领域，旨在为开发者提供一个比较框架，以便快速评估不同AMB的优缺点，并为桥和dApp用户提供跨链领域安全权衡的概述。

本文强调了形式化验证（FV）在Web3和DeFi安全中的重要性，指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行，能预防高危漏洞，并已在多个知名DeFi项目中应用，同时建议将FV尽早集成到开发生命周期中，以提升代码质量和安全性。

本文详细探讨了Web3项目中的无权限投票机制及其面临的治理攻击风险。作者通过实例阐述了治理攻击的实际案例，并提出了通过机制设计来应对这些攻击的框架，强调了在去中心化治理与安全之间的权衡。关键在于降低攻击的潜在价值、增加获取投票权的成本以及提高执行攻击的难度。

本文介绍了协作式 zk-SNARKs 的概念及其在多方计算 (MPC) 中的应用，重点讨论了实现协作 zk-SNARKs 的方法，包括选择合适的 MPC 方案、通用 zk-SNARK 方案的多方扩展和性能优化。文中强调了分布式秘密的安全计算和验证能力，以及在实际应用中的有效性和性能表现。

以太坊基金会宣布了2024年度学术资助计划的获奖者，共资助来自全球研究机构的41个项目，总预算为1,786,137.48美元。这些项目涵盖密码学、共识机制、安全、执行等以太坊发展的关键领域，旨在解决以太坊面临的根本挑战和机遇，推动以太坊生态系统的发展。

文章讨论了Solana智能合约中的SPL Associated Token程序的两个重要注意事项：不要将关联Token账户设置为其他Token账户的所有者，以及在验证关联Token账户时，不能仅依赖所有者和铸造信息。文中提供了相关的代码示例以及潜在的安全问题。

sec3团队在2022年Aptos CTF MOVEment比赛中获得第一名，展示了团队对Move语言的理解及其在安全领域的应用。文章描述了5个挑战及其解决方案，涉及的内容包括智能合约漏洞分析和应对策略，体现了团队的技术实力。

本文档介绍了Governor的设计，旨在限制特定漏洞的影响，通过赋予 Guardians 延迟来自已注册Token Bridge的Wormhole消息的选项来实现，特别是当其总名义价值非常大时，给守护者24小时的时间来删除通过软件错误创建的消息，而不是准确地表示原始链的状态，从而防止了漏洞利用。

Allbridge Core协议在4月初遭受攻击，损失约65万美元。通过与合作伙伴合作，大部分资金已追回并用于赔偿受影响用户。文章分析了导致攻击的流动性池问题，并介绍了修复方案，包括改进流动性计算、引入储备金和重新平衡机制、限制每条链一个资产池、自动和手动关闭机制等。此外，Allbridge Core将开源其EVM和Tron合约。

十大Web3.0安全最佳实践方式

本文简要探讨了Permit功能的双重性质：它在降低高gas费的情况下满足用户需求的同时，也为钓鱼攻击提供了可能。文章将分析Permit2签名钓鱼攻击的发生方式，揭示攻击者如何通过伪造签名获利，并介绍了识别Permit签名的方法和技巧，帮助用户规避潜在风险。

攻击相关事件整数溢出攻击案例介绍：2024年2月8日，Ethereum主网上的ERC404项目Pandora遭到攻击，项目被攻击的原因是项目设计中存在漏洞，导致被攻击者利用从而发生了整数溢出漏洞，导致丢失约7.5ETH，其价值约为350000$。Totallost:7.5ETH攻击者

文章讨论了区块链面临的主要威胁，包括政府攻击和社区内部的反对者，并比较了PoW和PoS共识机制的安全性和效率。

文章解释了SHA-3和Keccak之间的差异，指出许多旧代码使用Keccak而非标准SHA-3，并呼吁开发者在使用相关库时明确区分，以避免混淆。

白帽黑客Alexander Schlindwein发现了Fei协议中的一个严重漏洞，该漏洞若被利用，可能导致并且协议损失60000 ETH，因而被授予80万美元的奖励。Fei协议是一个去中心化的算法稳定币协议，其执行过程中可以利用闪电贷对市场进行操控。快速借贷攻击可能允许攻击者以低于真正市场价格的价格购买FEI。协议已经实施了多个修复措施，确保此类漏洞不会再发生。包括禁止通过债券曲线的ETH存款直接进入Uniswap池，以及设置滑点参数以防止市场操控。整个事件强调了针对闪电贷的防御机制及修复措施的必要性。