全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计

文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。
Solana  Rust  智能合约  安全审计  漏洞  内存安全  Anchor  跨程序调用 

Web3 从业者旅行时的安全指南

本文是由 SEAL (Security Alliance) 发布的关于旅行安全框架的工作草案,旨在为开发者、安全专家和其他 Web3 从业者提供旅行时的安全建议。内容涵盖旅行前、旅行中和返回后的安全措施,以及针对高风险人群的额外保护措施,包括设备加密、网络安全、物理安全和应对边境检查的策略,以最大限度地减少数据泄露和潜在威胁。
安全  旅行安全  加密  网络安全  物理安全  Web3 

如何确保强制交易模拟执行与真实执行的一致性

文章讨论了在区块链交易中模拟执行与实际执行之间状态差异的问题。提出了一种通过在交易中附加状态约束来解决此问题的方法,这些约束在交易执行前进行检查,确保交易在符合预期状态的条件下进行,从而提高交易的安全性和可靠性。文章还探讨了EIP-7702等以太坊改进提案如何为此方法提供更好的用户体验和效率
交易模拟  状态约束  EIP-7702  智能合约  区块链安全  状态发散 

Web3 安全入门:常见的硬件钱包陷阱

本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
硬件钱包  安全  钓鱼攻击  中间人攻击  恢复短语  加密资产 
  • slowmist
  • 发布于 2025-06-18
  • 阅读 ( 118 )
  • ( 2 )

2025 硬件钱包评测 - 第二篇

作者评测了四款加密货币硬件钱包:SafePal S1 Pro、BitBox02、Burner 和 NGRAVE Zero。作者主要关注钱包的安全性、是否开源以及交易数据的可验证性。BitBox02 在显示签名数据和开源方面表现较好,作者推荐安全研究人员使用,但没有一款钱包能完美保护用户免受攻击。
硬件钱包  加密货币  安全  交易签名  开源  EIP-712  Calldata 

理解EIP-7702钓鱼攻击:钱包保护策略综合指南

本文深入分析了利用EIP-7702的钓鱼攻击,特别是攻击者如何利用MetaMask的7702批量执行功能,诱导用户授权恶意交易,从而造成重大资产损失的情况。文章详细阐述了MetaMask的7702 Delegator授权机制和安全架构,并通过案例分析揭示了InfernoDrainer等团伙的作案手法,最后针对钱包提供商和用户提出了具体的安全建议,以防范此类攻击。
EIP-7702  钓鱼攻击  MetaMask  Delegator合约  批量交易  智能合约 

Solana 黑客攻击、漏洞和安全漏洞:完整历史

本文全面回顾了2020年至2025年第一季度 Solana 的安全事件,详细分析了事件的根本原因、影响、应对措施和补救措施。文章将安全事件分为应用漏洞、供应链攻击、网络层攻击和核心协议漏洞四类,并统计了各类事件的频率和造成的经济损失。最后总结了 Solana 在安全响应方面的演进,包括更快的响应时间、更有效的修复策略以及生态系统层面的改进。
Solana  安全事件  漏洞  攻击  区块链安全  DeFi安全 
  • Helius
  • 发布于 2025-05-24
  • 阅读 ( 77 )
  • ( 4 )

使用 safe-utils 和 tenderly-utils 自动化你的安全运营

本文介绍了如何使用 safe-utils 和 tenderly-utils 这两个 Foundry 模块来简化协议的治理流程,尤其是在涉及 Safe 多签账户的场景下。
多重签名  智能合约  Foundry  治理  测试网络  模拟 
  • Recon
  • 发布于 2025-04-25
  • 阅读 ( 718 )
  • ( 57 )

为什么SDK审计对Web3安全至关重要

本文讨论了Web3安全中SDK审计的重要性,强调了SDK作为连接dApp、钱包和区块链网络的关键层,其安全性常常被忽视。文章详细解释了SDK审计的定义、与智能合约和OpSec审计的区别,以及SDK审计的具体流程和评估领域,并列举了现实世界中SDK漏洞的案例,突出了进行SDK审计的必要性。
SDK审计  web3安全  智能合约  漏洞  供应链攻击  密码学 

AI 辅助进行代码安全审计

本文探讨了人工智能工具在区块链安全审计中的应用,包括其优点、局限性及实际案例。文章详细描述了AI工具如何增强代码理解、漏洞检测、攻击向量验证和文档报告写作等过程,同时强调了人工审计师在验证工具输出的重要性。各类AI工具的选择与使用对提高审计效率。文章对当前AI技术的快速发展及其未来趋势进行了展望。
区块链安全  人工智能  漏洞检测  智能合约  审计工具  深度学习 

Solodit 检查清单解读 (4):抢跑攻击

本文深入探讨了区块链中的抢跑攻击,分析了攻击者如何利用透明交易的特性实现自己的利益。通过实例和示例代码,作者提供了防范抢跑攻击的最佳实践,包括保护'获取或创建'模式、两步交易的安全性检查、避免尘埃攻击和正确使用承诺-揭示方案。通过理解这些攻击方式,开发者可以更好地设计安全的智能合约。
智能合约  安全性  承诺-揭示  尘埃攻击  抢跑 
  • cyfrin
  • 发布于 2025-04-12
  • 阅读 ( 956 )
  • ( 81 )

OpenZeppelin Relayers和Monitor现已开源

本文介绍了OpenZeppelin最新发布的开源Relayers和Monitor工具,旨在为区块链开发者提供更高的自定义和灵活性。Relayers支持各种自动化交易需求,而Monitor则用于实时监控区块链活动,两者均有助于提高开发效率。文章还讨论了这些工具在Solana和Stellar网络的应用,并鼓励开发者参与反馈和建议。
开源工具  区块链开发  自动化交易  实时监控  Solana  Stellar 

硬件钱包安全:必须检查硬件设备显示的内容

本文章深入探讨了硬件钱包在交易签名中的安全性,并强调用户在签署任何信息或交易时必须仔细验证显示的关键信息。通过理解EIP-712标准和校验数据,用户能够有效避免诈骗和安全漏洞,保障数字资产安全。
硬件钱包  交易签名  EIP-712  安全验证  数字资产  校验 
  • cyfrin
  • 发布于 2025-04-03
  • 阅读 ( 763 )
  • ( 51 )

提升 Web3项目运营安全:开发者和团队的最佳实践

本文讨论增强Web3的运营安全性(OpSec)的方法,包括分层防御、密钥管理和安全流程。作者基于自己在卡支付行业的经验和SEAL 911的最佳实践,提供了一系列切实可行的建议,旨在帮助协议开发者和维护者保护用户及协议的资金。
运营安全  Web3  分层防御  密钥管理  安全流程  SEAL 911 
  • cyfrin
  • 发布于 2025-03-11
  • 阅读 ( 505 )
  • ( 14 )

8款行业领先智能合约审计和安全工具

本文列出了八种行业领先的智能合约安全审计工具,讨论了它们的功能和优势,强调了安全性在Web3生态系统中的重要性。工具涵盖模糊测试、静态分析和正式验证等不同领域,旨在帮助智能合约开发者提高代码的安全性和可靠性。
智能合约  安全审计  模糊测试  静态分析  正式验证  Web3 
  • cyfrin
  • 发布于 2025-03-09
  • 阅读 ( 697 )
  • ( 26 )

竞争性审计与私有审计:优缺点分析

这篇文章深入探讨了竞争性和私密性智能合约审计的优缺点,并提供了选择合适审计类型的指导。文章强调审计的重要性,结合市场变化和安全需求,提出应根据公司需求和开发阶段选用竞争性或私密性审计,甚至是两者兼顾。同时,作者分析了审计成本和历史数据,提供了具体实例以帮助决策。
智能合约  审计  私密审计  竞争审计  DeFi  安全性 
  • cyfrin
  • 发布于 2025-03-07
  • 阅读 ( 469 )
  • ( 10 )

多签的正确使用方式

本文详尽探讨了如何实施多重签名(multisig)安全的最佳实践,以保护区块链协议免受潜在的攻击。通过分析不同风险类别及相应的签名阈值,文章提供了一种系统的框架,建议使用多种合约(如Gnosis Safes,RolesAuthority和TimelockController)来增强安全性,并提出具体的实施建议。最终,文章强调了协议团队在管理多重签名时需要注意的良好做法和其他安全考虑。
multisig  安全性  风险管理  Timelock  Gnosis Safe  RolesAuthority 
  • Recon
  • 发布于 2025-03-06
  • 阅读 ( 1539 )
  • ( 116 )

Bybit 14 亿美元盗窃案:黑客如何利用 Safe 基础设施实施攻击

这篇文章详细分析了Bybit交易所创下的14亿美元黑客事件,揭示了Safe基础设施被攻击的过程。文章通过提供攻击细节、技术分析以及安全建议,强调了多签名钱包在安全验证中的重要性,以及在面对精明的攻击者时保持高标准的操作安全(OpSec)的必要性。
黑客  多签名  安全分析  Bybit  Safe  操作安全 
  • cyfrin
  • 发布于 2025-03-05
  • 阅读 ( 742 )
  • ( 11 )

十大智能合约审计公司与服务

本文介绍了十大智能合约审计公司及其服务,详细说明了智能合约审计的重要性,以及如何选择适合的审计服务。文章涵盖了不同公司提供的技术和专业知识,体现了在区块链项目中进行审计的必要性和益处。
智能合约审计  区块链安全  DeFi  审计公司  漏洞检测  技术评估 
  • cyfrin
  • 发布于 2025-03-04
  • 阅读 ( 1364 )
  • ( 36 )

Bybit被盗事件深度解析

文章阐述 Safe{Wallet}的签名过程以及替换 JavaScript 完成攻击的过程。
Safe  Bybit 
  • BlockSec
  • 发布于 2025-03-01
  • 阅读 ( 1501 )
  • ( 2 )