全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Rust智能合约安全竞赛 - 赛后感

Certora举办了首次针对Rust的形式化验证竞赛,并与Code4rena和Cantina合作,为Soroban智能合约举办了两次社区竞赛。文章介绍了如何使用Certora的工具(如Sunbeam)和Rust库(如CVLR)进行形式化验证,并通过Blend v2和Aquarius两个竞赛的例子展示了形式化验证在发现智能合约漏洞中的应用。
形式化验证  Rust  智能合约  Soroban  Certora Prover  CVLR 
  • Certora
  • 发布于 4小时前
  • 阅读 ( 45 )

一次侥幸:NPM 漏洞事件险些给加密货币用户带来浩劫

NPM(Node Package Manager)上知名开发者账号qix遭受网络钓鱼攻击,导致多个流行的 JavaScript 库被植入恶意代码,攻击者试图通过替换加密货币交易中的接收者地址来窃取资金。虽然攻击影响有限,只造成少量资金损失,但它暴露了软件供应链的潜在风险,并提醒开发者和用户采取更严格的安全措施,例如升级到修复版本、锁定依赖项版本、避免盲签交易等。
npm  供应链攻击  JavaScript  网络钓鱼  加密货币  地址替换 
  • Galaxy
  • 发布于 4小时前
  • 阅读 ( 35 )

MGF 手动引导模糊测试:一份新手指南

本文介绍了手动引导模糊测试(MGF)在智能合约安全中的应用,MGF通过定义特定的测试流程和不变量,有针对性地检测漏洞,文章还对比了Wake MGF 与 Foundry 的模糊测试和不变量测试,并提供了使用Wake框架进行MGF的具体步骤和代码示例,展示了如何初始化合约、定义流程、处理 revert,定义不变量以及运行测试。
模糊测试  智能合约  漏洞检测  Wake框架  手动引导模糊测试  Solidity 
  • Ackee
  • 发布于 2天前
  • 阅读 ( 237 )
  • ( 8 )

BlockThreat - 2025年第36周

本周发生了多起安全事件,总计损失超过2600万美元,其中Bunni和Venus用户遭受的损失最为严重。Venus Protocol通过快速响应和治理措施,成功追回被盗资金。此外,Justin Sun因涉嫌市场操纵被 World Liberty Financial 列入黑名单。文章还包括了其他安全事件、犯罪活动、网络钓鱼攻击以及恶意软件的报告。
Bunni  venus  OlaXBT  Nemo  Justin Sun  WLFI  漏洞  黑客  钓鱼攻击  恶意软件 

NPM供应链攻击剖析:涉及十亿次下载

NPM 账户 qix 遭到供应链攻击,导致多个常用软件包(如 chalk、strip-ansi 和 color-convert)发布恶意版本。该恶意软件是一个加密货币剪切器,通过替换网络请求中的钱包地址和直接劫持加密货币交易来窃取资金。建议立即审查项目依赖项,并使用 package.json 中的 overrides 功能将所有受影响的包锁定到其最后已知的安全版本。
供应链攻击  npm  恶意软件  加密货币剪切器  依赖项  package.json  JavaScript 

区块链取证:归因技术与开源情报的作用

本文深入探讨了区块链取证中的归因技术以及开源情报(OSINT)的关键作用。文章详细介绍了通过交易模式、基础设施、跨链行为和行为模式进行钱包归因的方法,并强调了OSINT在连接区块链地址与现实世界实体方面的重要性,包括利用社交媒体、域名记录、开发者仓库等多种信息源来识别和追踪恶意行为者。文章旨在帮助调查人员更好地利用链上数据和外部信息,从而更有效地打击加密货币领域的欺诈和非法活动。
区块链取证  钱包归因  开源情报  OSINT  跨链分析  交易追踪 

Web3中的DNS安全:攻击与监控设置解析

本文深入探讨了Web3领域中DNS安全的重要性,详细分析了域名劫持的各种攻击手段和实际案例,并针对Web3的特殊性,提出了相应的安全配置和监控建议,强调了加强域名安全对于防止资产损失和维护项目声誉的关键作用。
DNS劫持  web3安全  域名安全  社会工程学  域名注册商  域名服务器 

绕过代码完整性检查以在本地后门植入Signal、1Password、Slack等应用

文章揭示了Electron应用中一个名为CVE-2025-55305的漏洞,该漏洞允许攻击者通过篡改V8堆快照文件,绕过代码完整性检查,从而在Signal、1Password、Slack和Chrome等应用中植入后门。尽管Electron提供了完整性检查机制,但默认未启用,且未能覆盖V8堆快照,使得攻击者能够利用此漏洞实现持久性的隐蔽攻击。
Electron  CVE-2025-55305  V8堆快照  代码完整性检查  后门  漏洞 

重入漏洞完全实战指南

本文全面分析了重入漏洞,并通过可执行的示例介绍了各种攻击类型。
重入漏洞  Reentrancy  CEI模式  智能合约安全  以太坊  漏洞分析 
  • Ackee
  • 发布于 2025-09-04
  • 阅读 ( 765 )
  • ( 44 )

利用Wake的引导模糊测试检测抢跑漏洞

本文介绍了使用Wake的Manually Guided Fuzzing (MGF)技术来发现智能合约中的抢跑漏洞。通过分析合约逻辑、使用Python进行测试以及简化测试流程,MGF能够有效地揭示潜在的安全问题,文章通过两个具体的案例,展示了如何利用MGF发现盐值碰撞和ERC-721通证铸造中的抢跑漏洞,并强调了在测试中考虑各种边缘情况的重要性。
智能合约  抢跑漏洞  模糊测试  安全测试  CREATE2  ERC-721 
  • Ackee
  • 发布于 2025-09-04
  • 阅读 ( 517 )
  • ( 11 )

今天就实施 EIP-7730 , 让硬件钱包不再盲签

本文讨论了Web3生态系统中长期被忽视的盲签问题,以及Bybit被黑事件暴露出的用户验证交易信息的不足。文章分析了EIP-712的局限性,并提出了EIP-7730作为一种解决方案,通过使硬件钱包能够解码交易,帮助用户理解他们实际签署的内容,从而提高交易的安全性,并降低了开发者的实施负担。
盲签  EIP-7730  EIP-712  硬件钱包  交易安全  Web3 

AI代理如何在任何代码库中发现深层逻辑漏洞

文章介绍了Hound,一个语言无关的AI代码安全审计工具,它模拟人类专家的认知过程,通过构建动态知识图谱和推理模型来发现代码中的深层逻辑错误。Hound使用大型推理模型生成有针对性的假设,并使用认知和组织过程来帮助AI进行推理、记忆和改进。文章还展示了如何在Code4rena的SecondSwap审计竞赛的代码库上运行Hound。
代码安全审计  AI  知识图谱  漏洞检测  智能合约  GPT 

智能合约的形式化验证:防范 Web3 漏洞的终极卫士

本文介绍了形式化验证(Formal Verification,FV)在智能合约安全中的重要性。FV 是一种数学技术,用于证明代码在所有可能场景下的正确性,能够有效防止智能合约中因漏洞导致的财务损失和信任危机。文章详细解释了 FV 的原理、步骤,并提供了一些实用工具和集成建议。
形式化验证  智能合约  安全  漏洞  数学证明  Certora Prover 

BlockThreat - 2025年第35周

本周发生了多起安全事件,包括Better Bank的$5.5M漏洞利用,Cozy Finance的$427K损失。白帽黑客和漏洞赏金计划在Panoptic和Eigenlayer的事件中发挥了作用。此外,还出现了新的网络钓鱼攻击手段,针对社交媒体应用和智能浏览器。文章还介绍了多个与加密货币相关的犯罪案件、政策讨论、恶意软件攻击以及一系列的研究工具和安全分析。
漏洞利用  白帽黑客  网络钓鱼  恶意软件  智能合约  安全工具 

【安全月报】| 8 月加密货币安全事件造成 1.81 亿美元损失

8 月加密货币领域因黑客攻击、诈骗及漏洞利用造成的总损失约1.81 亿美元
黑客攻击  钓鱼攻击  加密货币  区块链安全 

BlockThreat 周报 - 2025年第34周

本周加密货币领域损失约9140万美元,主要是一起网络钓鱼攻击导致。EIP-1967代理劫持事件频发,提醒开发者注意合约初始化原子性。Lazarus组织入侵Woo X,盗取1400万美元。新的iOS 0day漏洞被利用。此外,还涉及域名劫持、零日漏洞、密码管理器漏洞、加密犯罪报告、政府追回被盗资金、以及针对Dogecoin的攻击等。
网络钓鱼  EIP-1967  漏洞  安全  加密货币  iOS 

BlockThreat - 2025年第33周周报

本周要点包括:BtcTurk再次遭受热钱包攻击损失5170万美元;Coinbase因错误授权导致55万美元损失;Kraken因Monero遭受51%攻击暂停Monero存款。此外,还涉及朝鲜IT工作人员的网络犯罪活动、加密货币相关诈骗和恶意软件,以及针对Web3项目安全的研究和工具。
加密货币  安全漏洞  网络攻击  钓鱼  恶意软件  朝鲜IT工作人员 

通过混淆实现的安全通常是很差的安全

本文主要讨论了使用混淆技术来实现安全性的问题,作者通过举例说明了混淆技术在实际应用中的不足,并强调了在高度风险环境中,尤其是可能涉及生命损失的数据泄露事件中,必须采用数据加密和适当的访问控制。文章批评了使用隐藏标签等混淆手段的安全性,并强调了加密的重要性。
混淆  安全性  加密  数据泄露  恶意软件  JavaScript 

BlockThreat - 2025年第32周

本篇文章主要讨论了与加密货币相关的安全事件、漏洞和政策更新。内容涵盖 Tornado Cash 的法律风险,朝鲜黑客利用社交工程攻击加密项目的 TTPs,以及各种网络钓鱼、恶意软件和诈骗活动。此外,还包括对智能合约安全、AI 在代码审计中的应用以及相关工具的介绍。
Tornado Cash  网络钓鱼  恶意软件  智能合约安全  AI代码审计  朝鲜黑客 

智能合约审计需要的思维模型

本文作者分享了智能合约安全审计的经验模型,强调了资源收集、智能合约概览、手动代码审查、功能测试、自动化审查、报告编写和修复代码审查等关键步骤。文章旨在帮助审计人员系统性地进行安全审计,并识别潜在的安全漏洞。
智能合约  安全审计  漏洞  代码审查  功能测试  自动化测试