本文介绍了SipHash算法，它是由JP Aumasson和Daniel J Bernstein (djb)共同设计的一种快速哈希算法，旨在解决哈希表在面对拒绝服务（DoS）攻击时的脆弱性。SipHash通过密钥哈希的方式，在保证速度的同时，提供了较好的安全性，尤其适用于网络应用和WebAssembly (WASM)等场景，且比HMAC更快。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

2025年5月22日，SUI公链头部去中心化交易所（DEX）Cetus Protocol遭遇了其生态史上最严重的智能合约攻击事件，造成高达2.6亿美元的巨额损失，不仅重创SUI生态，更引发全行业对DeFi安全性的深度反思。

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞，该漏洞通过模糊测试发现，但在安全竞赛中被遗漏。该漏洞与舍入误差有关，导致每个 Vault 份额的价格意外下降，从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。

本文深入探讨了Fairblock这一动态保密计算平台，旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案，结合多方计算(MPC)、同态加密(HE)等加密技术，为DeFi、AI和博弈等应用实现链上保密，构建一个值得信任且无腐败的市场环境，从而推动机构采用和更广泛的Web3应用。

本文档介绍了OpenZeppelin Contracts库在不同版本之间的向后兼容性保证，包括API和存储布局的兼容性。文章解释了在patch和minor版本更新中通常会保持向后兼容，但某些情况下可能会有例外，特别是涉及到安全问题或draft状态的ERC标准时。同时提醒了override函数、struct结构体以及错误处理等方面需要注意的问题，并强调了major版本更新通常不保证兼容性。

该文档介绍了如何使用Contracts Wizard Deploy Plugin将智能合约直接部署到OpenZeppelin Defender账户。内容涵盖API密钥的生成、在Contracts Wizard中的配置、网络选择、审批流程设置以及合约的部署过程，包括确定性部署的配置。还介绍了完成部署后的后续步骤，并提供了反馈渠道。

我们监控到 SUI 上针对 Cetus 的攻击事件，攻击共造成 223M USD 的损失

安全牛第十二版《中国网络安全行业全景图》，零时科技强势入围“区块链安全”领域。

为什么EIP-7702能被称为账户抽象“终极形态”？它到底解决了啥问题？Pectra 升级后对钱包、开发者和普通用户意味着什么？

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约，用于在操作排队和执行之间强制实施延迟，以提高去中心化治理的安全性。通过 Defender，用户可以导入 TimelockController 合约，创建提案，授予和撤销角色，从而实现对合约权限的集中管理。

BitsLab旗下TonBit再次于TON虚拟机（TVM）深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境（使用本地区块链）、编写单元测试（使用Chai断言库），以及执行复杂断言的方式（使用OpenZeppelin Test Helpers）。文章还提及了持续集成服务（如CircleCI）的设置，以便每次提交代码到GitHub时自动运行测试。

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易，并验证智能合约行为，从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata，模拟 ERC-20 approve 交易的影响，并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。

本文是关于OpenZeppelin升级插件的常见问题解答，涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据，解码出两个预言机报告者的私钥，攻击者可以利用这些私钥操纵NFT价格，低价购买后再以高价卖出，从而获利。

本文介绍了如何使用 OpenZeppelin Defender 管理智能合约中的角色权限，包括添加合约、查看和修改角色。通过一个基于角色的访问控制（RBAC）智能合约示例，演示了如何创建合约、分配和撤销角色，以及如何使用 Defender 的地址簿和交易提案功能进行操作。主要目的是帮助用户了解如何使用 Defender 有效地管理和控制智能合约的访问权限。

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据，用户可以验证交易的意图，防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程，并提供了一个Python脚本来自动化calldata分析，最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址，以检测恶意地址。