全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

零知识虚拟机(zkVM)简介

本文是零知识虚拟机(zkVM)安全系列的第一篇文章,主要介绍了zkVM的基本概念、工作原理及其在可验证计算中的作用。文章还简要介绍了zkEVM及其在区块链中的应用,并概述了该系列后续文章的主题,旨在为零知识领域的研究人员和zkVM开发者提供有用的安全指导。
零知识证明  虚拟机  zkVM  zkEVM  可验证计算  RISC Zero 
  • Veridise
  • 发布于 2025-06-18
  • 阅读 ( 1210 )
  • ( 28 )

Hyperlend协议审计概要

本文是 Hyperlend 委托 Ackee Blockchain Security 做的安全审计报告,审计发现了44个问题,从Info到Critical级别不等。其中最严重的问题是C1,它会导致所有抵押代币被盗。该审计报告还提出了改进建议,包括及时了解Aave和Fraxlend代码库的最新修复,并保持最佳安全实践。
Hyperlend  安全审计  智能合约  漏洞  Chainlink  Wake  模糊测试 
  • Ackee
  • 发布于 2025-06-17
  • 阅读 ( 315 )

如何编写一份全面的审计报告:来自实战的经验——ImmuneBytes

本文主要讨论了智能合约审计报告的重要性以及如何编写高质量的审计报告。强调了审计报告不仅要列出漏洞,还要讲述系统如何工作、在哪里出现问题以及如何修复。文章还分享了编写审计报告的实用经验,包括报告的结构、内容要点以及如何清晰地表达技术细节。
智能合约  审计报告  漏洞  安全  代码质量  最佳实践 

签名者配置 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Relayer中用于交易签名的signers配置,包括支持的signer类型(local, vault, vault_cloud, vault_transit, turnkey, google_cloud_kms, aws_kms),配置结构,以及它们在不同网络(EVM, Solana, Stellar)的兼容性,并提供了各种signer类型的详细配置示例和安全最佳实践。
OpenZeppelin Relayer  签名者  密钥管理  HashiCorp Vault  Google Cloud KMS  AWS KMS  Turnkey  密钥存储  交易签名 

如何无痛进行链上大额转账

本文探讨了链上大额转账存在的痛点,以及一些解决思路
区块链  钱包  CEX 
  • 卡卡
  • 发布于 2025-06-15
  • 阅读 ( 983 )
  • ( 15 )

AI网络钓鱼系列:第六部分 - 法律护栏、量子深度伪造和Web3集体防御

AI技术正在以超乎法律的速度重塑加密货币诈骗,文章探讨了AI网络钓鱼如何重塑加密货币和Web3的监管、责任和集体防御。随着Web3应用拥抱AI工具,传统的诈骗也变得更加“自治”,文章呼吁业界通过法律、技术和协作护栏,在政策和保护隐私的防御创新方面赶上AI诈骗的步伐,以确保生态系统的安全。
AI  网络钓鱼  Web3  MiCA  智能合约  量子计算 

2025 硬件钱包评测 - 第二篇

作者评测了四款加密货币硬件钱包:SafePal S1 Pro、BitBox02、Burner 和 NGRAVE Zero。作者主要关注钱包的安全性、是否开源以及交易数据的可验证性。BitBox02 在显示签名数据和开源方面表现较好,作者推荐安全研究人员使用,但没有一款钱包能完美保护用户免受攻击。
硬件钱包  加密货币  安全  交易签名  开源  EIP-712  Calldata 

自主网络钓鱼的防护:政策、隐私和下一代防御 - 第六部分

AI技术正在快速改变加密货币诈骗的形式,法律的制定速度已经无法跟上。本文探讨了AI诈骗带来的法律挑战,以及Web3防御者如何通过技术创新来应对。同时,也讨论了行业如何通过共享标准和合作联盟来构建安全防线,包括企业以太坊联盟、Web3安全联盟等。
AI欺诈  智能合约  web3安全  联邦学习  多智能体攻击  隐私保护 

智能合约安全中的自定义模糊测试

本文介绍了智能合约安全中自定义模糊测试的重要性,强调了Spearbit将模糊测试自动化与专家驱动的手动审查相结合的方法,以应对传统模糊测试工具的局限性。文章深入探讨了模糊测试的工作原理、不同类型(如基于突变、基于生成、智能与笨拙型模糊器),并通过实际案例展示了Spearbit如何利用差分模糊测试揭示跨实现语义不一致性,从而提高智能合约的安全性。
模糊测试  智能合约  安全  Spearbit  差分模糊测试  漏洞 
  • cantina
  • 发布于 2025-06-12
  • 阅读 ( 2148 )
  • ( 140 )

安全时光机:2025年5月至6月区块链黑客报告 – ImmuneBytes

本文分析了2025年5月至6月期间发生的多起区块链安全事件,包括Cetus Protocol、Alex Protocol、Cork Protocol和Mobius DAO等项目遭受的攻击,并探讨了ImmuneBytes如何通过其安全策略来预防这些漏洞,强调了安全审计和验证的重要性。
区块链安全  智能合约审计  漏洞  攻击  安全策略  形式化验证 

实时防御、GNN检测与Web3威胁情报

本文探讨了如何实时防御Web3攻击,重点介绍了流分析、大型语言模型(LLMs)和图神经网络(GNNs)在加速识别诈骗方面的作用,以及威胁情报共享如何降低跨链风险。文章还介绍了用于低延迟推理的特征存储,用于加速警报富集的LLM,以及用于识别与钓鱼相关的资金路径的GNN。
web3安全  图神经网络  LLM  威胁情报  钓鱼  区块链安全 

AI 钓鱼系列:第五部分 - 实时防御、GNN 检测和 Web3 威胁情报

本文讨论了如何实时防御Web3攻击,包括利用流分析、大型语言模型(LLM)和图神经网络(GNN)更快地发现诈骗,以及如何通过威胁情报共享来降低跨链风险。文章阐述了构建链上安全分析、使用LLM辅助分类、利用GNN处理EVM数据以及社区威胁情报共享的具体方法。
web3安全  流分析  LLM  图神经网络  威胁情报  链上安全 

智能合约审计介绍 - ImmuneBytes

本文深入探讨了智能合约审计的重要性,它能发现智能合约中隐藏的安全漏洞和错误。文章详细介绍了智能合约审计的定义、流程(包括需求收集、单元测试、代码分析、手动代码审查和报告生成)、成本以及进行审计的必要性和好处,强调了审计在保护用户资金、提升项目可信度方面的重要作用。
智能合约  审计  安全漏洞  代码审查  区块链  DeFi 

攻破与防御去中心化系统的艺术 – ImmuneBytes

本文深入探讨了区块链安全,指出其不仅仅是代码层面的问题,更是一场策略性的对抗游戏。攻击者总是先行动,通过信息不对称、信号传递和多轮攻击等手段,利用防御者的盲点和激励机制漏洞。文章强调,成功的防御需要理解攻击者的策略,并设计能够打破其游戏规则的防御机制。
区块链安全  对抗博弈论  MEV  跨链桥  治理攻击  信息不对称 

Solodit Checklist详解:重放攻击

本文主要介绍了重放攻击的概念、原理以及防范措施。重放攻击是指攻击者恶意重复使用有效的交易或签名,从而导致未经授权的状态变更。文章通过Solodit Checklist中的两个条目,详细讲解了如何利用nonce、链ID和域名分隔符等技术手段,防止重放攻击,从而保障智能合约的安全。
重放攻击  nonce  链ID  EIP-712  域名分隔符  签名 
  • Cyfrin
  • 发布于 2025-06-11
  • 阅读 ( 747 )
  • ( 12 )

交易机器人骗局、虚假DeFi与链上取证

本文深入探讨了AI驱动的加密货币诈骗,包括虚假的AI交易机器人和伪造的DeFi平台。这些骗局通过伪造数据、利用闪电贷虚增TVL等手段欺骗用户。文章还介绍了链上取证技术,如GNN和字节码指纹识别,用于追踪和识别诈骗活动,并以AI量化资金盘为例,强调保持怀疑态度和独立验证的重要性。
AI  加密货币  诈骗  DeFi  链上取证  GNN  闪电贷 

什么是加密货币诈骗以及如何避免?- Pintu Academy

本文介绍了加密货币领域常见的几种诈骗手段,包括钓鱼、挖矿诈骗、赠品诈骗、Rug Pull、拉高出货以及MetaMask上的未知代币空投。文章还提供了识别和避免这些诈骗的方法,如使用冷钱包、保护私钥、使用额外的安全应用程序以及在投资前进行充分的调研。
加密货币诈骗  钓鱼  rug pull  拉高出货  MetaMask  私钥  冷钱包  安全 
  • pintuid
  • 发布于 2025-06-10
  • 阅读 ( 378 )

Web3应用为何需要全栈安全审查 – ImmuneBytes

Web3应用的安全不能只关注智能合约审计,而应该进行全栈安全审查,包括前端渗透测试、钱包安全、预言机安全、后端安全和外部库安全。攻击者会利用任何层面的漏洞来获取访问权限或转移资产,因此需要对整个产品进行安全审计。
智能合约审计  DApp安全  全栈安全  渗透测试  钱包安全  预言机 

AI 诈骗系列:第四部分 - 交易机器人诈骗、虚假 DeFi 与链上取证

本文揭露了利用AI进行诈骗的常见手段,包括伪造交易机器人和DeFi平台。这些诈骗项目通过虚假数据和精心设计的界面来欺骗用户,最终导致资金损失。文章还介绍了链上分析技术,如GNN和操作码指纹识别,用于追踪和识别这些诈骗行为,并强调了保持怀疑态度和进行独立验证的重要性。
AI诈骗  DeFi  链上分析  GNN  操作码指纹  交易机器人 

BlockThreat - 2025年第23周

本周,超过1700万美元的资金在四起独立事件中被盗,其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞,而Marinade Finance遭受了一起500万美元的市场操纵计划,该计划持续了数月未被发现。此外,还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。
区块链安全  漏洞  黑客攻击  网络钓鱼  恶意软件  加密货币