全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

那些被误用的密码学 - 看看密码学有哪些“陷阱”!

本文作者总结了密码学中常见的陷阱,包括基础概念的误解、nonce/IV 的错误使用、算法选择的漏洞、AES-GCM 的使用不当、签名机制的缺陷以及侧信道攻击的风险,并对X.509证书的相关问题进行了分析说明,旨在帮助密码学从业人员避免这些常见的错误,提高密码系统的安全性。
密码学  加密  认证  AES-GCM  签名  侧信道攻击  X.509证书 

Vitalik: 我对“AI 2027”的回应

文章批判了AI 2027中,仅有领先AI具备超强能力而其他人停滞不前的假设,认为生物武器末日并非必然,网络安全末日和超级说服末日也非定局。文章强调,应重视防御性技术,如空气过滤、病毒实时检测和免疫系统增强,同时主张信息生态系统应更加多元化,并配备防御性AI来抵御超级说服。
AI安全  网络安全  生物防御  超级智能  信息安全  防御性AI 

案例研究:使用 Biconomy 编排实现一键 Gasless 仓位迁移

本文介绍了如何使用Biconomy的MEE和AbstractJS SDK实现一键将Aave的仓位迁移到Venus协议。通过Fusion模式,用户只需一次签名即可完成包括转移利息、从Aave提款、授权Venus花费代币以及在Venus上铸造vToken等多个复杂操作,极大地简化了DeFi操作的用户体验.
MEE  Biconomy  DeFi  Aave  Venus协议  Fusion模式 
  • Biconomy
  • 发布于 4天前
  • 阅读 ( 494 )
  • ( 20 )

智能合约中的“隐形杀手”:被忽略的函数返回值

想象一个场景:智能合约调用了一个外部合约的函数(比如执行一次ERC20代币转账),然后心满意足地更新了自己的内部状态,记录下“转账已成功”。但如果,这笔转账因为某些原因在底层失败了,而您的合约却对此一无所知,会发生什么?这就是“未检查的返回值”(UncheckedReturnValues)
合约交互 
  • zero
  • 发布于 2025-07-08
  • 阅读 ( 694 )
  • ( 22 )

ERC4626 金库安全指南 v12.0

本文档是ERC4626 Vault安全启动的第12.0版本,内容涵盖了ERC4626 Vault实现中发现的关键安全模式和漏洞,包括各种类型的Vault、跨链系统、AMM集成、CDP实现、清算机制、以及预言机和价格馈送问题等。文档详细列出了非标准代币支持问题、重入攻击、首次存款攻击、份额和价格操纵、通胀/紧缩攻击等一系列安全漏洞模式,并提供了相应的安全实施示例、检测方法和缓解措施。
ERC4626  Vault  智能合约  安全漏洞  重入攻击  预言机  清算 
  • devdacian
  • 发布于 2025-07-08
  • 阅读 ( 789 )
  • ( 67 )

Circom 常见陷阱及规避方法 — 第 1 部分

本文深入探讨了在 Circom 中编程时可能遇到的常见陷阱,包括错误地使用 `assert`、不正确地处理 hints (即 `<--` 运算符),以及由于有限域算术导致的别名攻击。文章提供了具体的代码示例和避免这些陷阱的方法,强调了在 Circom 电路开发中进行严格约束和安全编码的重要性。
circom  零知识证明  R1CS  约束  别名攻击  有限域算术 

通过数据压缩降低 Streams 成本

本文介绍了如何通过QuickNode Streams的数据压缩功能来降低区块链数据的成本。通过启用压缩,可以在已经过滤的数据基础上,进一步节省高达90%的成本。文章详细说明了如何在QuickNode控制台中启用GZIP压缩,并提供了使用Node.js Express服务器处理压缩数据的示例代码,包括自动解压和手动解压两种方法。
QuickNode  Streams  数据压缩  gzip  Node.js  Express 
  • QuickNode
  • 发布于 2025-07-08
  • 阅读 ( 491 )
  • ( 15 )

【引介】Accretion Solana 数据逆向工器

Accretion Solana Data Reverser是一个基于浏览器的逆向工程工具,用于分析十六进制数据,并深度集成了Solana区块链。它提供交互式的 hexdump 查看器、智能建议、多格式解码以及 Solana 账户分析等功能,可帮助用户检查原始二进制数据、Solana 账户结构并发现区块链数据中的模式。
Solana  区块链  逆向工程  十六进制数据  账户分析  公钥 

从以太坊到Solana:开发者的假设造成的严重安全漏洞

本文探讨了以太坊开发者在Solana上开发时可能犯的常见错误,由于Solana和以太坊的安全模型差异很大,例如:账户验证不足、签名者账户转发等,这些错误可能导致严重的安全漏洞,并提供了防范这些风险的建议,强调了在Solana上进行安全开发需要对账户的所有权、类型检查、关系验证和签名者处理进行严格执行。
Solana  以太坊  账户验证  签名者账户  跨程序调用  安全漏洞 
  • Dedaub
  • 发布于 2025-07-06
  • 阅读 ( 1321 )
  • ( 70 )

使用 Claude 进化专业 AI 智能合约审计工具

本文介绍了一个名为Amy的开源智能合约审计工具,它使用AI并通过“Priming”技术不断自我进化,专注于Vault / ERC4626智能合约协议的审计。文章还讨论了Amy与人类审计师和静态分析工具的比较,以及Amy的局限性和未来发展方向,例如创建更多专业化的AI审计工具。
智能合约审计  AI  ERC4626  Vault协议  代码安全  漏洞检测 
  • Dacian
  • 发布于 2025-07-05
  • 阅读 ( 97 )
  • ( 4 )

流动性再质押代币 #1 - 流动性质押代币 vs 流动性再质押代币

本文是关于流动性再质押代币(LRTs)的系列文章的第一部分,主要介绍了LRTs的概念,它是在以太坊的再质押模式下新兴的DeFi原语。LRTs结合了流动性质押和再质押的概念,允许用户的质押资产同时保护多个协议,并保持流动性和可交易性。文章还对比了流动性质押代币(LSTs)和LRTs的关键区别,包括安全范围、流动性和可交易性、奖励来源以及复杂性和风险。
流动性质押代币  LST  流动性再质押代币  LRT  再质押  EigenLayer 

【引介】 Foundry MCP 服务

该文章介绍了一个 Foundry MCP Server,它是一个轻量级的 MCP (Model Context Protocol)服务器,旨在利用 Foundry 工具链(Forge, Cast, Anvil)为 LLM 提供 Solidity 开发能力。通过该服务器,LLM助手可以与节点交互、分析智能合约和区块链数据、执行EVM操作、管理和部署Solidity代码等。
Foundry  MCP  Solidity  Forge  cast  anvil 

全面对比分析 EVM 数据索引的各种解决方案

本文深入探讨了区块链应用的数据基础设施,特别是索引工具的发展。文章分析了多种索引解决方案,包括The Graph、Ponder、Envio、Subsquid、Goldsky、Sim IDX和自研方案,比较了它们在数据源、性能、链支持、数据转换、查询API、托管控制成本和开发者体验等方面的优劣,为开发者选择合适的索引方案提供了全面的指导。
区块链  索引  数据基础设施  The Graph  Sim IDX  EVM 
  • Dune
  • 发布于 2025-07-04
  • 阅读 ( 1116 )
  • ( 106 )

看看以太坊下一次升级(Fusaka )- 将带来哪些改变

Forkcast 介绍了以太坊未来升级 Fusaka 的相关信息,Fusaka 升级主要包括 PeerDAS、eth/69、MODEXP 限制、交易 Gas 上限、ModExp Gas 成本增加等多个 EIP,旨在提高以太坊的可扩展性、用户体验和网络稳定性,并为 Layer 2 解决方案提供更好的支持。
以太坊升级  EIP  PeerDAS  eth/69  ModExp  gas 限制  Layer 2 
  • forkcast
  • 发布于 2025-07-04
  • 阅读 ( 1186 )
  • ( 48 )

Orca Whirlpools 与 UniswapV3 对比分析:设计、逻辑与权衡

本文深入探讨了Solana上的Orca Whirlpools和以太坊上的Uniswap V3两种去中心化交易所(DEX)的流动性机制。分析了它们在流动性逻辑、技术架构、费用结构、路由和聚合、状态管理、可组合性、数学库以及gas与计算等方面的差异,总结了各自的优缺点,并讨论了它们在各自生态系统中的地位和系统级差异。
去中心化交易所  DEX  Orca Whirlpools  Uniswap V3  Solana  以太坊 

万物代币化(RWA)!金融的未来,还是混乱的根源?

本文深入探讨了现实世界资产(RWA)代币化的概念,包括其定义、优势、DeFi 中的应用以及面临的挑战。
RWA  代币化  DeFi  真实世界资产  区块链  金融 

Web3 前端如何高效读取链上数据?一文掌握 Call、Log、RPC 的使用边界与实战技巧

Web3 前端如何读取链上数据?本文全面解析 Call、Log 与 RPC 的区别与最佳实践,结合 viem/wagmi 提供实战指导 关键字: Web3 前端, 链上数据读取, eth_call, getLogs, 合约事件, Viem, Wagmi, Zust
eth_call  Viem  wagmi  Log  链上数据  Web3 
  • Henry Wei
  • 发布于 2025-07-04
  • 阅读 ( 1074 )
  • ( 27 )

Mempool 监听与抢先交易实战:从原理到 Flashbots 套利脚本(Uniswap V3 + Sepolia 测试网)

前言未确认交易驻留内存池(Mempool)期间,释放链上意图:DEX订单、清算触发、NFT铸造。套利机器人(Searchers)通过实时监听、Gas竞价及私有中继(Flashbots)实施原子套利(AtomicArbitrage),在区块打包前完成价值捕获。本文系统阐述:Mempo
ethers.js  Mempool Watcher  Flashbots 
  • 木西
  • 发布于 2025-07-03
  • 阅读 ( 1100 )
  • ( 44 )

EIP 中文文档正式上线!

帮助中文开发者更好的进行以太坊的学习和开发。
EIP  EIP 中文文档 
  • 乌索普
  • 发布于 2025-07-03
  • 阅读 ( 1365 )
  • ( 52 )

打破 Gas 陷阱:保护智能合约免受拒绝服务攻击

本文是智能合约安全系列文章的第一部分,主要讨论了智能合约中拒绝服务(DoS)攻击的威胁与防范。文章通过实际案例Fomo3D,讲解了DoS攻击如何利用以太坊的gas限制使合约不可用,并重点介绍了利用无限制循环和外部调用失败两种主要攻击手段。文章还提供了使用“拉取而非推送”模式、限制状态增长、熔断器等多种缓解措施,以及Slither、MythX、Foundry等高级工具,以构建更具弹性的智能合约。
拒绝服务攻击  DoS攻击  智能合约安全  Solidity语言  以太坊  Gas限制