全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

BlockThreat - 2025年第39周

本周加密领域发生多起安全事件,损失超过5100万美元,其中UXLINK遭受多重签名劫持损失惨重。文章强调了多重签名安全配置的重要性,并讨论了LayerZero OFT劫持事件,以及其他加密货币诈骗、网络钓鱼和恶意软件攻击案例。此外,文章还分享了有关区块链安全、取证和智能合约漏洞研究的最新资讯与工具。
多重签名  网络钓鱼  供应链攻击  区块链安全  智能合约  漏洞 

零时科技 || WET 攻击事件分析

我们监控到 BNB Smart Chain 上针对 WET Token 的攻击事件,共造成 40k USD 的损失。
黑客攻击  攻击事件  区块链安全 

新型高级X账户攻击目标锁定加密货币社区

一种新型网络钓鱼活动正在劫持加密货币领域知名人士的X(Twitter)账户,通过滥用X的应用程序授权系统绕过密码和双重验证。攻击者利用伪造的Google日历链接诱导用户授权恶意应用程序,从而获得账户的完全控制权限。用户应提高警惕,仔细检查应用程序权限请求,并定期审查已连接的应用程序。
网络钓鱼  X账户  双重验证  应用程序授权  加密货币  安全 

V12 发布 - 结合 AI、LLM 和传统静态分析技术的自主 Solidity 审计工具

Zellic 发布了 V12,一款结合 AI、LLM 和传统静态分析技术的自主 Solidity 审计工具,能有效发现高危漏洞,已在实际审计和竞赛中发现 39 个问题。V12 具备直观的界面,支持导出报告,并计划支持更多语言和 L1,旨在提供经济高效的漏洞查找能力,但不能替代全面的人工审计。
Solidity审计  AI  LLM  漏洞检测  智能合约安全  静态分析 
  • zellic
  • 发布于 4天前
  • 阅读 ( 259 )
  • ( 14 )

供应链攻击正在利用我们的假设

文章深入分析了软件供应链中存在的信任漏洞,详细阐述了诸如拼写错误攻击、依赖混淆、秘钥泄露、管道投毒和恶意维护者等攻击手段,并介绍了TypoGard、Zizmor、PyPI可信发布和证明、Homebrew构建溯源以及Go Capslock等新兴防御技术,旨在将隐式信任转变为显式、可验证的保障,从而提高软件供应链的安全性。
软件供应链安全  依赖管理  类型错误劫持  CI/CD管道安全  构建溯源  攻击向量 

SP1 与 zkVMs:安全审计员指南

本文是对SP1(一个零知识虚拟机)的全面安全审计指南,重点介绍了SP1的架构、安全注意事项和审计方法,SP1使用户能够证明任意Rust程序的执行,审计需要关注 untrusted host 和 trusted guest 之间的边界,需要对输入进行严格的校验,以防止恶意输入破坏系统,同时,还需要进行外部验证。
SP1  zkVM  零知识证明  安全审计  Rust  RISC-V 

BlockThreat 安全周报 - 2025年第38周

本周发生了三起盗窃事件,损失超过300万美元。一名癌症患者因下载恶意Steam游戏损失3.2万美元,安全研究人员追踪到恶意软件操作者并促成逮捕。文章还报道了多个加密货币诈骗、网络攻击和漏洞利用事件,以及相关的政策和工具更新,涵盖了安全事件、恶意软件、钓鱼攻击以及相关的研究和工具。
加密货币  网络安全  恶意软件  钓鱼攻击  漏洞  区块链安全 

全栈开放性和可验证性的重要性

本文探讨了在当今时代,技术堆栈的完全开放性和可验证性的重要性,特别是在健康、个人和商业数字技术以及数字公民技术领域。文章强调,开放源代码和可验证的技术能够促进创新、增强安全性,并赋予个人和社区更大的自主权,从而构建一个更加安全、自由和公平的未来。
开放源代码  可验证性  硬件安全  软件安全  数据隐私  公民科技 

BlockThreat - 2025年第37周

本周发生多起安全事件,包括SwissBorg/Kiln的4150万美元损失、NPM供应链攻击、Yala LayerZero OFT桥接劫持、Shibarium桥接攻击等。文章强调了第三方托管风险、供应链安全、桥接安全等问题,并介绍了ChainPatrol在品牌保护和打击网络钓鱼方面的贡献。
npm  供应链攻击  桥接攻击  网络钓鱼  漏洞  安全事件 

如何应对 npm 依赖供应链攻击的风险

文章分析了 npm 依赖供应链攻击的风险,指出攻击者可以通过篡改深层依赖项来影响用户,尤其是在 Web3 领域,前端直接处理交易签名,风险更高。文章建议通过减少依赖、自建核心模块、使用 IPFS CID 验证构建产物等方法来降低风险。
npm  依赖供应链攻击  Web3  IPFS  安全  漏洞 

用于跨链消息传递系统的 AI 驱动的联盟证明证明 - 第 2 部分

本文介绍了CORE Pipeline,这是一个用于确保跨链消息传递系统安全的系统。该pipeline通过生成场景、进行稳健性可行性分析、进行参数优化以及进行统计认证四个阶段,来保证在各种情况下,攻击者无法通过贿赂节点来伪造消息,并提供一个可验证的证书来证明系统的安全性。
跨链消息传递  安全  联盟优化  稳健型启发  参数优化  统计认证 
  • thogiti
  • 发布于 2025-09-20
  • 阅读 ( 721 )
  • ( 76 )

发现智能合约漏洞的方法(审计:第二部分)

本文是智能合约审计系列文章的第二部分,主要讨论了如何发现智能合约中的漏洞。文章首先定义了智能合约中的bug类型,然后详细介绍了在理解代码的过程中以及如何通过测试假设来发现潜在的漏洞,并强调了采用攻击者思维模式的重要性,通过不断提问和探索各种可能性来进一步挖掘潜在的漏洞。文章还提到审计是一个不断学习和改进的过程,即使失败也能提供宝贵的经验。
智能合约  审计  漏洞  重入攻击  拒绝服务  安全 

跨链消息传递系统的抗联盟证明 第一部分

本文深入探讨了LayerZero、CCIP和Across等跨链桥的安全经济学,提出了一个包含联盟、相关性和机制的框架,用于评估和提高桥的安全性。核心观点是桥的安全性取决于打破它所需的最廉价的相关联盟,因此需要购买独立性、支付检测费用和投资未来,使作弊在经济上不可行。
跨链桥  LayerZero  CCIP  经济安全  联盟  相关性  机制设计 
  • thogiti
  • 发布于 2025-09-16
  • 阅读 ( 954 )
  • ( 95 )

Sui Move如何重新思考闪电贷安全性

本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
闪电贷  Sui  Move语言  DeepBookV3  热土豆模型  可编程交易块 

【引介】Canon Guard - 更安全的使用 Safe 多签

本文介绍了Canon Guard,一种用于多重签名(Multisig)交易的更安全执行模型。它通过引入Action合约来封装交易逻辑,并结合时间锁和自定义Safe Guard合约来增强安全性,旨在减少重复审批、防止恶意攻击,并实现完全链上的透明度和可模拟性。
多重签名  multisig  安全  智能合约  时间锁  链上治理 

ZKPassport:我们现在在哪里?

本文探讨了在生物护照上使用零知识证明来恢复 Safe 账户的方法,无需暴露个人数据。文章概述了生态系统中的主要参与者,并讨论了其优势和局限性。通过ZKPassport应用程序演示了NFC扫描、链上验证和Merkle树注册,以及用于通过范围标识符进行Safe钱包恢复的SDK。
零知识证明  生物护照  Safe 账户恢复  NFC扫描  Merkle树  zkPassport  身份验证 

如何应对供应链攻击

本文分析了最近NPM上发生的供应链攻击事件,恶意软件包通过替换用户交易中的区块链地址来窃取加密货币。文章解释了攻击原理,并提供了开发者可以采取的防御措施,包括版本锁定、使用`npm ci`以及实施Lavamoat等工具,以降低受到供应链攻击的风险。
供应链攻击  npm  恶意软件  LavaMoat  版本锁定  依赖管理  安全漏洞 
  • osecio
  • 发布于 2025-09-14
  • 阅读 ( 450 )
  • ( 17 )

代码审计循序渐进:第一部分

本文是作者分享的进行代码审计的步骤,主要分为理解代码和发现漏洞两个阶段。第一部分主要讲解如何高效地理解代码,包括建立基础知识、绘制代码流程图、阅读代码、并做笔记记录审计过程中的疑问、猜想和关键点。
代码审计  智能合约  安全漏洞  代码分析  协议安全  漏洞挖掘 

区块链取证:高级区块链取证技术…

本文深入探讨了区块链取证中的高级技术,包括基于时间的交易关联、隐私协议的解混与去匿名化、跨链桥跳跃分析、大规模数据分析与查询、图分析与聚类、以及洗钱模式识别。此外,还提供了一系列实用资源,例如工具平台、课程认证、社区协作和持续学习材料, 旨在帮助调查人员提升技能,更有效地打击加密货币犯罪。
区块链取证  隐私协议  跨链桥  数据分析  图分析  洗钱模式 

Concordance:利用 LLM 安全地简化复杂智能合约

Certora 发布了一款名为 Concordance 的开源工具,它利用 LLM 自动简化复杂的智能合约代码,同时使用 Concord 等价性检查器来保证代码行为不变。Concordance 通过迭代地简化代码,并使用 Concord 验证 LLM 提出的修改方案,从而帮助开发者更容易地理解和审计复杂的智能合约。
智能合约  LLM  形式化验证  代码审计  Concordance  等价性检查 
  • Certora
  • 发布于 2025-09-13
  • 阅读 ( 416 )
  • ( 22 )