全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

传统金融许可型资本市场智能合约协议中的漏洞

本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约  漏洞  权限控制  合规性  真实世界资产  RWA  DeFi 
  • Cyfrin
  • 发布于 2025-08-12
  • 阅读 ( 236 )
  • ( 11 )

BlockThreat - 2025年第31周周报

本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞  安全审计  加密货币  黑客攻击  信息安全  多链 

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 309 )
  • ( 12 )

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 327 )
  • ( 15 )

【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元

2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击  钓鱼攻击  web3安全 

慢雾月度安全报告:7月损失估计达1.47亿美元

2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全  智能合约漏洞  交易所攻击  钓鱼攻击  供应链攻击  区块链安全 
  • slowmist
  • 发布于 2025-08-02
  • 阅读 ( 162 )
  • ( 9 )

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全 

智能合约安全第六部分:保护以太坊智能合约免受矿工操纵

本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵  Chainlink VRF  智能合约安全  以太坊  随机数生成  Commit-Reveal机制 

【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发

OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin  Contracts MCP  智能合约  AI  Solidity  Cairo  Stylus  Stellar 

零时科技 || RareStaking 攻击事件分析

我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击  web3攻击  区块链安全 

Rebase 类型代币局限性:舍入误差与拒绝服务攻击问题

本文深入探讨了Rebase代币的漏洞与局限性,分析了由于Solidity语言特性以及EVM的限制,在智能合约中可能出现的舍入误差问题,并探讨了针对智能合约的拒绝服务(DoS)攻击及其防范措施。文章还强调了开发者和审计人员在Web3安全中的作用。
Rebase代币  舍入误差  拒绝服务攻击  智能合约  Solidity  EVM 

使用 Halmos 进行现代不变性测试

本文介绍了使用 Halmos 工具进行智能合约状态不变性测试的演变过程。首先通过在无状态测试中模拟状态变化来实现,然后利用 Halmos 提供的 cheatcode 简化了测试代码,并加入了快照状态的机制以优化性能。最后展示了 Halmos v0.3.0 版本如何原生支持状态不变性测试,极大地简化了测试流程,并提供了升级和使用 Halmos 的方法。
智能合约  形式化验证  不变性测试  Halmos  SMT solving  状态空间探索 

BlockThreat 周报 - 2025年第30周

本周发生了三起安全事件,损失超过 1500 万美元,其中大部分损失来自 Woo X 交易所被攻击。对Roman Storm的Tornado Cash审判由于错误的区块链追踪和对去中心化智能合约的误解而陷入困境。文章还列举了近期发生的安全事件、网络犯罪、钓鱼攻击、诈骗以及恶意软件等,并推荐了一些安全工具。
安全漏洞  智能合约  区块链安全  交易所攻击  网络钓鱼  恶意软件 

为什么 Keystone 要实现 Shamir 备份

本文介绍了 Keystone 硬件签名器实现的 SLIP39 Shamir 备份标准,该标准允许将种子词分割成多个片段,并设定阈值,只有达到阈值数量的片段才能恢复钱包。文章讨论了Shamir备份的优点、缺点,以及使用建议,例如,提醒用户在转入大量比特币之前先进行练习,并定期执行安全检查。
Shamir 备份  SLIP39  种子词  KeyStone  硬件签名器  私钥分割 
  • BTCStudy
  • 发布于 2025-07-26
  • 阅读 ( 407 )
  • ( 6 )

去中心化物理基础设施网络(DePIN)安全最佳实践

本文讨论了去中心化物理基础设施网络(DePIN)的安全最佳实践。DePIN 将物理服务与区块链基础设施相结合,面临智能合约漏洞以外的独特攻击面,包括编排系统、物理设备、治理过程和行为激励。文章提出了一个全面的安全模型,涵盖 DePIN 协议的整个生命周期,强调风险评估、对抗性建模和跨层可见性。
DePIN  安全模型  智能合约  风险评估  物理基础设施  安全 
  • cantina
  • 发布于 2025-07-25
  • 阅读 ( 454 )
  • ( 29 )