全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

ERC4626 金库安全指南 v12.0

本文档是ERC4626 Vault安全启动的第12.0版本,内容涵盖了ERC4626 Vault实现中发现的关键安全模式和漏洞,包括各种类型的Vault、跨链系统、AMM集成、CDP实现、清算机制、以及预言机和价格馈送问题等。文档详细列出了非标准代币支持问题、重入攻击、首次存款攻击、份额和价格操纵、通胀/紧缩攻击等一系列安全漏洞模式,并提供了相应的安全实施示例、检测方法和缓解措施。
ERC4626  Vault  智能合约  安全漏洞  重入攻击  预言机  清算 

Web3中AI生成的诈骗的兴起:2025年最危险的趋势

AI技术被用于加密货币诈骗,诈骗手段愈发精良,从仿冒用户界面到自动化社交工程,再到武器化治理,攻击者利用AI以前所未有的速度模仿项目,用户仅凭界面外观已难以判断安全性,Web3的未来之战将是与仿冒的斗争。
AI  加密货币诈骗  社会工程  web3安全  智能合约  人工智能 

零时聚焦 || 2025 年上半年 web3 链上安全态势分析报告

Web3 区块链领域发生重大安全事件 87 起,因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的经济损失达 22.9 亿美元
黑客攻击  钓鱼攻击  web3安全 

BlockThreat - 2025年第26周周报

本周发生了多起安全事件,Resupply和Silo Finance损失惨重,攻击源于常见的漏洞,即利用空市场的舍入误差来铸造过多的协议代币。此外,MEV机器人的访问控制不足和函数参数验证不严也导致了损失。文章还提到了Unphishable项目,旨在帮助用户识别和避免常见的Web3网络钓鱼攻击。
漏洞  安全事件  MEV  网络钓鱼  智能合约安全  区块链安全 

EVM 任意调用审计要点

本文探讨了智能合约审计中任意调用(Arbitrary Calls)的风险,指出合约若存在任意调用,则不应包含 transfer/transferFrom/approve 等操作,否则可能导致代币被盗。文章还列举了需要检查的要点、安全假设以及应对措施,强调了防范利用任意调用漏洞的重要性。
智能合约  审计  任意调用  安全漏洞  重入攻击  delegatecall 

第二部分:如何保护你的智能合约免受状态膨胀和Gas消耗攻击

本文深入探讨了智能合约中高级拒绝服务(DoS)攻击,重点介绍了状态膨胀和Gas消耗攻击(Gas Griefing)的原理、攻击方式以及实际案例,并通过代码示例展示了如何通过限制状态增长、批量处理数据、实施熔断机制等手段来构建具有DoS防御能力的智能合约。
智能合约安全  DoS攻击  状态膨胀  gas消耗攻击  Solidity  以太坊 

漏洞搜寻:零知识、充分偏执与反向凝视的AI - ZKSECURITY

本文探讨了AI在零知识电路和应用程序中发现漏洞的能力,zkSecurity开发了一款名为SnarkSentinel的AI驱动的ZK审计工具。
AI  零知识证明  审计  漏洞检测  SnarkSentinel  上下文工程 

Cyfrin 2025年7月区块链安全与教育新闻通讯

Cyfrin发布了2025年7月的区块链安全和教育新闻通讯,内容涵盖了新的GMX交易课程、职业发展方向、Web3钱包安全课程和资格认证、Solodit更新以及CodeHawks Eagles的成功案例。此外,还包括高风险攻击事件的分析、Solana程序执行的深入探讨、以及关于使用EIP-7702从受损钱包中恢复资产的Bash脚本。
区块链安全  智能合约审计  DeFi安全  Web3钱包  Solidity  漏洞 
  • Cyfrin
  • 发布于 2025-07-03
  • 阅读 ( 170 )
  • ( 10 )

打破 Gas 陷阱:保护智能合约免受拒绝服务攻击

本文是智能合约安全系列文章的第一部分,主要讨论了智能合约中拒绝服务(DoS)攻击的威胁与防范。文章通过实际案例Fomo3D,讲解了DoS攻击如何利用以太坊的gas限制使合约不可用,并重点介绍了利用无限制循环和外部调用失败两种主要攻击手段。文章还提供了使用“拉取而非推送”模式、限制状态增长、熔断器等多种缓解措施,以及Slither、MythX、Foundry等高级工具,以构建更具弹性的智能合约。
拒绝服务攻击  DoS攻击  智能合约安全  Solidity语言  以太坊  Gas限制 

高级 Foundry 作弊码系列:第 6 部分 - 使用 Forge 进行高级模糊测试

in  Foundry 高级作弊码系列
本文是Advanced Foundry Cheatcodes系列文章的第六部分,介绍了 Foundry 的高级模糊测试功能,通过随机输入参数自动发现智能合约的边缘情况,包括溢出、回滚等问题。文章还涉及了如何使用 forking cheat-codes 与主网合约交互,以及如何通过 vm.assume 和 bound() 来缩小输入范围,从而提高测试效率。
Foundry  模糊测试  智能合约  边缘情况  EVM  Invariant Testing 

【安全月报】| 6月份因黑客攻击、诈骗等导致损失约1.84亿美元

6月,加密货币领域因黑客攻击、诈骗和漏洞利用,损失金额约达1.84亿美元。其中,黑客攻击事件尤为突出,共发生了15起。
安全月报  黑客攻击  网络钓鱼 

安全指南:使用 Solodit 保护智能合约

本文介绍了 Solodit 社区维护的智能合约安全审计检查表,强调了智能合约安全的重要性,并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源,并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施,同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。
智能合约  安全审计  Solodit 检查表  重入攻击  拒绝服务  前置交易  以太坊  漏洞 

利用形式化验证查找编译器 Bug

本文介绍了Certora团队开发的一款用于验证编译器优化的等价性检查工具,该工具通过比较优化前后程序的行为来检测编译器bug。文章还分享了该工具在Vyper编译器中发现的一个优化bug,该bug导致局部变量被错误地映射到相同的堆栈位置,从而改变了程序的行为。该bug已在Vyper 0.4.2版本中修复。
编译器优化  等价性检查  形式化验证  Vyper  Certora Prover  bug检测 
  • Certora
  • 发布于 2025-07-01
  • 阅读 ( 289 )
  • ( 3 )

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中的实用工具合约和库,用于提高智能合约的安全性、处理新型数据类型以及安全地使用底层原语。包括安全工具(如Pausable和ReentrancyGuard),以及用于处理地址、数组和字符串的库。此外,还介绍了用于处理计数器、可枚举映射和集合的实用工具,以及安全使用CREATE2操作码的工具。
Pausable  ReentrancyGuard  EnumerableMap  EnumerableSet  CREATE2  重入攻击  安全转换 

Silo Finance 杠杆合约攻击事件事后分析

Silo Finance 的一个新杠杆合约模块在测试阶段遭到攻击,由于过于宽泛的批准设置导致借款操控漏洞。该模块与核心Silo协议隔离,因此核心协议、金库、市场或用户资金未受影响。Certora 此前对该合约进行了安全审查,但未发现此漏洞,事后进行了风险评估和补救措施,并确认现有Silo代码是安全的。
Silo Finance  杠杆合约  安全漏洞  Certora  风险评估  形式化验证  智能合约 
  • Certora
  • 发布于 2025-06-28
  • 阅读 ( 214 )
  • ( 5 )

网络钓鱼攻击日益复杂

本文是一位网络安全专家分享了自己亲身经历的一次复杂加密货币钓鱼攻击,攻击者通过伪装成Coinbase员工,利用社工手段和多渠道协同,试图诱导受害者转移资产到虚假的Coinbase Vault中。作者详细拆解了攻击过程中的各种欺骗手段和危险信号,并分享了实用的安全建议,旨在帮助数字资产投资者识别和防范日益复杂网络钓鱼攻击。
网络钓鱼  加密货币  Coinbase  安全  多重签名钱包  社会工程学 
  • Galaxy
  • 发布于 2025-06-27
  • 阅读 ( 209 )
  • ( 22 )

揭示Solana的ZK ElGamal证明程序中的幻影挑战可靠性漏洞- ZKSECURITY

在Solana的ZK ElGamal Proof Program中发现了一个严重的声音漏洞,该漏洞允许恶意证明者伪造sigma OR 证明,绕过机密传输中的费用验证。攻击者可以操纵加密的费用金额来任意铸造或烧毁Token,而无需泄露实际的传输价值。该漏洞的根本原因是Fiat-Shamir转换中的一个微妙错误,即一个由证明者生成的“挑战”值未被吸收到transcript中。
零知识证明  Solana  ZK ElGamal Proof Program  sigma OR 证明  Fiat-Shamir转换  密码学 

如何超越私钥风险,实现智能合约彻底安全

文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
私钥泄露  多重签名  时间锁  最小权限原则  访问控制  智能合约安全 

零时科技 || SiloFinance 攻击事件分析

我们监控到 Ethereum 上针对 SiloFinance 的攻击事件,攻击共造成 54.6k USD 的损失。

Solodit清单详解:Rug Pull

本文解释了Solodit Checklist中的关于“Rug Pull”的风险,即管理员权限过大导致恶意提取用户资金的安全问题。文章通过Zunami Protocol事件,强调了限制管理员权限的重要性,并提供了诸如费用分离、时间锁等安全设计模式,以降低合约风险,保障用户资产安全。
rug pull  智能合约  管理员权限  安全漏洞  DeFi  Solidity 
  • Cyfrin
  • 发布于 2025-06-26
  • 阅读 ( 248 )
  • ( 19 )