全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Solana 黑客攻击、漏洞和安全漏洞:完整历史

本文全面回顾了2020年至2025年第一季度 Solana 的安全事件,详细分析了事件的根本原因、影响、应对措施和补救措施。文章将安全事件分为应用漏洞、供应链攻击、网络层攻击和核心协议漏洞四类,并统计了各类事件的频率和造成的经济损失。最后总结了 Solana 在安全响应方面的演进,包括更快的响应时间、更有效的修复策略以及生态系统层面的改进。
Solana  安全事件  漏洞  攻击  区块链安全  DeFi安全 
  • Helius
  • 发布于 2025-05-24
  • 阅读 ( 476 )
  • ( 13 )

Mobius代币爆炸性漏洞利用:铸造数万亿MBU的漏洞

Mobius项目由于智能合约中的一个漏洞,攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中,计算代币数量时的一个乘法运算缺少了除以10^18的步骤,导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞,从零地址铸造了大量的MBU,并通过一系列操作将资金转移。
智能合约  漏洞  代币增发  MBU代币  以太坊  区块链安全 

Cetus AMM 2亿美元黑客攻击:有缺陷的“溢出”检查如何导致灾难性损失

Cetus AMM 在 Sui 网络上遭受了 2 亿美元的黑客攻击,根本原因是流动性计算函数中的一个缺陷,该缺陷未能正确检测大数值计算中的溢出。攻击者利用此漏洞以极低的成本创建了大量的流动性头寸,并随后排干了资金池。该漏洞之前在 Aptos 的代码中就被发现过,但在移植到 Sui 时被重新引入。
Sui  Cetus AMM  溢出漏洞  流动性  DeFi  攻击 
  • Dedaub
  • 发布于 2025-05-23
  • 阅读 ( 838 )
  • ( 94 )

案例研究:Lomads DApp 安全性审查 – ImmuneBytes

Lomads 是一个去中心化自治组织(DAO)创建和管理平台,通过多重签名安全、SWEAT 积分等功能促进社区协作。该平台进行了一次全面的渗透测试,以确保其安全性。测试发现了未经授权的 DAO 详细信息修改、多重签名安全状态切换、XSS 漏洞等关键问题。Lomads 迅速修复了这些问题,并加强了未来的安全措施。
DAO  渗透测试  多重签名  XSS  访问控制  安全漏洞 

2025 年 Web3 安全现状

本文回顾了 DeFi Security Summit、DeFi World 和 DevCon 上关于 Web3 安全的讨论,总结了 2025 年 Web3 安全的风险和机遇,包括常见的智能合约漏洞、针对开发环境的钓鱼攻击,以及未满足的不变量等。
web3安全  智能合约漏洞  DevSecOps  fuzzing  静态分析  区块链防火墙 
  • cNoveron
  • 发布于 2025-05-20
  • 阅读 ( 657 )
  • ( 19 )

保护隐私的机器学习:同态加密和联邦学习

本文探讨了两种保护隐私的机器学习方法:同态加密和联邦学习,并将其应用于欺诈检测。同态加密允许在加密数据上进行计算,而无需解密;联邦学习则允许多方在不共享原始数据的情况下协同训练模型。文章介绍了使用这两种技术进行信用卡欺诈检测的实践案例,包括使用OpenFHE库和联邦学习系统Starlit。
同态加密  联邦学习  欺诈检测  隐私保护  机器学习  OpenFHE 

跨链桥漏洞利用 – ImmuneBytes

本文回顾了Poly Network、Ronin、Harmony、BNB Bridge、Wormhole、Nomad Bridge和Qubit Finance等多个跨链桥被攻击的事件,分析了攻击的根本原因,包括不安全外部调用、密钥管理不当、加密证明伪造、签名验证绕过、初始化疏忽以及非回滚转账等问题。总结了跨链桥安全的关键经验教训,强调了在多链未来中桥梁的重要性和面临的巨大安全挑战。
跨链桥  安全漏洞  智能合约  攻击事件  密钥管理  加密验证 

使用 Picus 验证 SP1 电路的确定性:Veridise 与 Succinct 之间的合作

Veridise 与 Succinct 合作,使用 Veridise 的工具 Picus 来验证 Succinct 的 RISC-V zkVM,SP1 电路的确定性。通过将 Plonky3 电路转换为 LLZK,成功验证了多个 SP1 电路的确定性。同时,也发现了 Plonky3 到 LLZK 转换管道的局限性,并提出了改进方向,未来计划扩展 Picus 以验证 SP1 中的所有电路。
零知识证明  ZK电路  形式化验证  确定性  Plonky3  LLZK  SP1 

智能合约安全审计:保护区块链应用

本文详细介绍了智能合约安全审计的重要性、流程、用例、常见漏洞、工具和最佳实践。强调了在区块链应用中进行安全审计的关键性,以防止潜在的漏洞利用和资产损失,并提供了智能合约开发和审计的最佳实践。
智能合约  安全审计  漏洞  重入攻击  溢出  前置交易  访问控制 

WASM与安全性

本文介绍了WebAssembly (WASM) 如何通过创建独立的沙箱环境、移除不安全的方法和提供内存保护来增强应用程序的安全性。同时,WASM 还能够提升如zkSnarks、HQC和McEliece等高性能要求的密码学算法的运行效率,并提供了相关的集成案例。
WebAssembly (WASM)  安全沙箱  zkSNARKs  HQC  McEliece  密码学 

日蚀攻击:揭示区块链安全的一个隐蔽威胁

本文深入探讨了区块链网络中的一种隐蔽而强大的攻击——Eclipse攻击。该攻击通过控制目标节点的P2P连接,使其与诚实节点隔离,从而操纵或审查交易,甚至破坏共识。文章详细解析了Eclipse攻击的原理、实施方式、潜在后果以及多种防御策略,强调了网络架构改进、节点安全措施和协议级防御的重要性,旨在提高区块链从业者对该威胁的认识和防范能力,从而维护区块链的安全和信任。
Eclipse攻击  P2P网络  双重支付  交易审查  节点安全  区块链安全 

零时科技入选安全牛第十二版《中国网络安全行业全景图》

安全牛第十二版《中国网络安全行业全景图》,零时科技强势入围“区块链安全”领域。
区块链安全  安全牛 

Web3 中的自动化安全:静态分析 vs. 动态分析 – ImmuneBytes

本文深入探讨了Web3安全领域智能合约审计中两种关键方法:静态分析和动态分析。静态分析通过代码检查在合约执行前发现潜在漏洞,而动态分析则通过在不同环境下运行合约来揭示运行时问题。文章详细介绍了这两种方法的原理、技术、优势与局限性,并强调了结合使用这两种方法以实现更全面、有效的安全审计的重要性。
静态分析  动态分析  智能合约  安全审计  web3安全  漏洞分析 

OKX研究院 | 账户抽象10年演进终局之战,透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
eth  Vitalik  账号抽象 
  • 十四君
  • 发布于 2025-05-13
  • 阅读 ( 916 )
  • ( 29 )

如何管理 TimelockController 的角色 - OpenZeppelin 文档

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约,用于在操作排队和执行之间强制实施延迟,以提高去中心化治理的安全性。通过 Defender,用户可以导入 TimelockController 合约,创建提案,授予和撤销角色,从而实现对合约权限的集中管理。
TimelockController  OpenZeppelin Defender  访问控制  角色管理  提案  智能合约 

如何跟踪你作为安全研究员的进步

本文作者分享了一种用于跟踪安全研究员成长的新方法,避免使用排行榜,而是使用包括 hit rate 和覆盖率等通用指标以及用于分类漏洞的漏洞范围界定,根据这些信息来优化审计策略。作者还分享了一个Google Sheet 模版用于量化跟踪。
安全研究  漏洞  审计策略  Hit Rate  覆盖率  Bug Scoping 

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞:RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
  • BitsLab
  • 发布于 2025-05-12
  • 阅读 ( 496 )
  • ( 8 )

编写自动化智能合约测试 - OpenZeppelin 文档

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境(使用本地区块链)、编写单元测试(使用Chai断言库),以及执行复杂断言的方式(使用OpenZeppelin Test Helpers)。文章还提及了持续集成服务(如CircleCI)的设置,以便每次提交代码到GitHub时自动运行测试。
智能合约  自动化测试  单元测试  Chai断言库  OpenZeppelin Test Helpers  本地区块链 

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
以太坊  交易模拟  Calldata  UI欺骗  Foundry  Python 
  • Cyfrin
  • 发布于 2025-05-10
  • 阅读 ( 849 )
  • ( 25 )

常见问题 - OpenZeppelin 文档

本文是关于OpenZeppelin升级插件的常见问题解答,涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。
OpenZeppelin  升级插件  代理  Solidity  delegatecall  selfdestruct  ProxyAdmin  实现合约