全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

选择审计竞赛:如何识别“灵丹妙药”

本文分析了审计竞赛平台常见的营销误导策略,包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时,关注透明度、沟通和有效指标,并提出了一系列问题,帮助读者识别并避免这些误导,从而选择真正能提高代码安全性的平台。
审计竞赛  安全研究  漏洞  智能合约  代码安全  安全审计 
  • zellic
  • 发布于 19小时前
  • 阅读 ( 65 )
  • ( 6 )

DeFi 中的舍入误差:1 Wei 如何让你损失数百万美元

DeFi领域中的rounding errors漏洞依然普遍存在,可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因,并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞,强调了Formal Verification在保障DeFi协议安全中的作用。
Rounding Errors  Formal Verification  DeFi安全  智能合约  Juice Finance  漏洞 
  • Certora
  • 发布于 1天前
  • 阅读 ( 191 )
  • ( 9 )

Tornado Cash 案:起诉代码不是正义

Roman Storm 因为开发开源代码 Tornado Cash 面临联邦监狱的刑罚,该工具旨在以太坊区块链上进行隐私交易。检察官指控他参与“无牌经营汇款业务”的犯罪阴谋。文章批判了政府对开源软件开发者施加不合理的法律责任,认为这种行为威胁了技术创新。
Tornado Cash  隐私交易  开源代码  反洗钱  监管  刑事指控 
  • Paradigm
  • 发布于 1天前
  • 阅读 ( 145 )
  • ( 3 )

Recon 不变性测试扩展

本文介绍了 Visual Studio Code 的 Recon 扩展,它简化了不变性测试套件的设置和运行。该扩展提供了一系列工具,包括自动生成测试框架、快速创建处理器、自动生成模拟合约、生成 Echidna/Medusa 报告、生成精简的覆盖率报告,以及生成用于调试的单元测试。
不变性测试  Visual Studio Code  Recon  Echidna  Medusa  模糊测试 
  • Recon
  • 发布于 5天前
  • 阅读 ( 139 )
  • ( 5 )

零时科技 || 深入 Bybit 攻击事件 Part1 - 关于 Safe{Wallet}

我们监测到 Bybit Cold Wallet 发起⼀笔⼤额转账,转出 401,346 ETH 价值约 1.5 BillionUSD 。经过多⽅确认,确定这是⼀起针对 Bybit 的攻击。
黑客攻击  攻击事件  web3安全 

AI 辅助进行代码安全审计

本文探讨了人工智能工具在区块链安全审计中的应用,包括其优点、局限性及实际案例。文章详细描述了AI工具如何增强代码理解、漏洞检测、攻击向量验证和文档报告写作等过程,同时强调了人工审计师在验证工具输出的重要性。各类AI工具的选择与使用对提高审计效率。文章对当前AI技术的快速发展及其未来趋势进行了展望。
区块链安全  人工智能  漏洞检测  智能合约  审计工具  深度学习 

Solodit 检查清单解读 (4):抢跑攻击

本文深入探讨了区块链中的抢跑攻击,分析了攻击者如何利用透明交易的特性实现自己的利益。通过实例和示例代码,作者提供了防范抢跑攻击的最佳实践,包括保护'获取或创建'模式、两步交易的安全性检查、避免尘埃攻击和正确使用承诺-揭示方案。通过理解这些攻击方式,开发者可以更好地设计安全的智能合约。
智能合约  安全性  承诺-揭示  尘埃攻击  抢跑 
  • cyfrin
  • 发布于 2025-04-12
  • 阅读 ( 542 )
  • ( 61 )

Solidity 安全注意事项

本文总结了智能合约开发中常见的安全漏洞和最佳实践,包括重入攻击、算术精度问题、访问控制不当、非标准协议、原生代币处理、底层调用、随机数问题、存储槽管理以及编译器版本固定。同时,强调使用静态分析工具和编写全面测试的重要性。
重入攻击  算术精度  访问控制  ERC-20  ERC-721  随机数 

ZKsync加密预编译审计

本篇文章对Matter Labs的zksync-crypto库进行了详尽的审计,重点指出多项高严重性问题,包括实现错误、缺少安全检查等,并提出了一些优化建议。审计内容广泛,深入探讨了加密算法的实现细节及其对ZKsync的影响。
zkSync  审计  安全性  代码优化  加密算法  BN256 

ZKsync 协议预编译实现审计

本文对以太坊 zkEVM 上的预编译操作进行了审核,涵盖了 ModExp、ECAdd、ECMul 和 ECPairing 操作及其对应的零知识电路构造。审查重点在于算法实现的正确性、输入验证、边界条件处理以及计算逻辑向电路约束的正确转换。虽然发现了一些优化和最佳实践方面的问题,但总体而言,代码库展现了对安全问题的良好关注。
预编译  zkEVM  ModExp  ECAdd  安全审核  零知识电路 

Safe 智能合约账户的安全操作指南 - 第 2 部分

本文探讨了高价值Safe智能账户的安全操作指南,包括推荐的安全配置、签名过程以及人员培训等方面。文中强调了针对特定攻击的多种预防措施和安全策略,以确保高价值安全账户的有效操作和减少人为失误的风险。
Ethereum  安全操作  Smart Account  多签名  硬件钱包  DPRK攻击 
  • Bazzani
  • 发布于 2025-04-11
  • 阅读 ( 287 )
  • ( 20 )

OpenZeppelin Relayers和Monitor现已开源

本文介绍了OpenZeppelin最新发布的开源Relayers和Monitor工具,旨在为区块链开发者提供更高的自定义和灵活性。Relayers支持各种自动化交易需求,而Monitor则用于实时监控区块链活动,两者均有助于提高开发效率。文章还讨论了这些工具在Solana和Stellar网络的应用,并鼓励开发者参与反馈和建议。
开源工具  区块链开发  自动化交易  实时监控  Solana  Stellar 

Solodit 检查清单解析:拒绝服务攻击 第2部分

本文继续讨论了Solodit智能合约检查清单,重点介绍了如何防止拒绝服务(DoS)攻击,分析了队列处理漏洞、低精度代币的挑战以及如何安全处理外部调用的重要性。通过实例说明了每种漏洞的潜在风险及对应的解决方案,以提高智能合约的安全性和抵御能力。
智能合约  拒绝服务攻击  安全性  队列处理  外部调用 
  • cyfrin
  • 发布于 2025-04-09
  • 阅读 ( 364 )
  • ( 30 )

Solodit检查清单详解:系列前言

本文介绍了Solodit Checklist,一个帮助开发者构建安全智能合约的实用工具。作者强调了理解智能合约安全的重要性,并提供了通过该检查清单进行深入学习和实践的方法,以避免潜在漏洞和安全风险。
智能合约  安全性  Solidity  区块链  DeFi  漏洞 
  • cyfrin
  • 发布于 2025-04-08
  • 阅读 ( 275 )
  • ( 12 )

Solana 保密余额扩展 - 钱包集成指南

本文介绍了一种基于ElGamal和AES加密的双重密钥加密方案,用于保护钱包中的机密转账和余额信息。详细阐述了密钥衍生过程、签名生成、与安全性相关的考虑,并描述了加密方案在交易中的实际应用,如机密转账和余额解密等。
加密  ElGamal  AES  钱包  机密转账  密钥衍生 

硬件钱包安全:必须检查硬件设备显示的内容

本文章深入探讨了硬件钱包在交易签名中的安全性,并强调用户在签署任何信息或交易时必须仔细验证显示的关键信息。通过理解EIP-712标准和校验数据,用户能够有效避免诈骗和安全漏洞,保障数字资产安全。
硬件钱包  交易签名  EIP-712  安全验证  数字资产  校验 
  • cyfrin
  • 发布于 2025-04-03
  • 阅读 ( 436 )
  • ( 45 )

【安全月报】| 3月因加密货币漏洞和诈骗造成损失达3,871万美元

3月发生 20次 加密货币黑客攻击,被盗资金超过 3871万 美元。代码漏洞导致的损失最多,超过1,400万美元;钱包被入侵导致超过800万美元被盗。
安全月报  黑客攻击  漏洞攻击 

揭示朝鲜黑客威胁的真相

本文详细介绍了朝鲜黑客在加密货币行业的活动,包括针对Bybit交易所的黑客攻击,以及与多个北朝鲜黑客组织(如Lazarus Group、APT38等)的关联。文章探讨了这些组织的架构、攻击手法和发展演变,并提供了企业和个人防范这些攻击的建议。
北朝鲜  黑客  加密货币  Lazarus Group  APT38  安全防护 
  • Paradigm
  • 发布于 2025-04-01
  • 阅读 ( 586 )
  • ( 30 )

慢雾:深入探讨 EIP-7702 与最佳实践

作者:Kong编辑:Sherry前言以太坊即将迎来Pectra升级,这无疑是一次意义重大的更新,众多重要的以太坊改进提案将借此契机被引入。其中,EIP-7702对以太坊外部账户(EOA)进行了变革性的改造。该提案模糊了EOA与合约账户CA之间的界限,是继EIP-4337之后
EIP-7702 

RISC Zero的ZK-VM安全性:Veridise如何帮助RISC Zero实现可证明和持续的零知识验证…

本文介绍了Veridise与RISC Zero在zkVM安全方面的合作,强调通过自动化零知识验证工具Picus实现持续的安全验证,确保RISC Zero开发的zkVM具备正式的安全保证。文中详细描述了三种关键漏洞及其修复方法,展现了如何通过深度合作提高零知识系统的安全标准。
zkVM  RISC-V  零知识证明  安全审计  自动化验证  形式化方法 
  • Veridise
  • 发布于 2025-03-27
  • 阅读 ( 207 )
  • ( 16 )