全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

L1协议和智能合约的模糊测试:检测漏洞

本文深入探讨了Layer 1协议测试的复杂性,并着重介绍了模糊测试(Fuzzing)作为一种有效的解决方案,用于发现和缓解区块链系统协议层的安全漏洞。文章还分享了Hacken团队在Minima项目中使用模糊测试发现关键漏洞的案例,并讨论了模糊测试的优缺点,强调了其在区块链安全审计中的重要作用。
模糊测试  fuzzing  Layer 1  区块链安全  智能合约  漏洞 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 113 )

区块链安全:常见漏洞及防护方法

in  攻防与案例
本文深入探讨了区块链架构的五个主要层级(基础设施层、数据层、网络层、协议层和应用层),详细分析了每个层级中常见的安全漏洞,如长程攻击、女巫攻击、加密攻击等,并提供了针对性的防御措施。文章强调了区块链安全的重要性,并建议开发者在构建区块链时堵塞所有漏洞。
区块链架构  安全漏洞  协议层  网络层  数据层  基础设施层 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 311 )

跨链桥安全

本文深入探讨了跨链桥的工作原理、安全风险以及常见的攻击方式。文章指出,尽管跨链桥是实现不同区块链互操作性的关键,但同时也面临着巨大的安全挑战,例如智能合约漏洞、私钥泄露和验证器接管等,并强调了安全审计、渗透测试和漏洞赏金计划对于提高跨链桥安全性的重要性。
跨链桥  区块链安全  智能合约  漏洞  安全审计  渗透测试 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 160 )

【安全月报】| 6月份因黑客攻击、诈骗等导致损失约1.84亿美元

6月,加密货币领域因黑客攻击、诈骗和漏洞利用,损失金额约达1.84亿美元。其中,黑客攻击事件尤为突出,共发生了15起。
安全月报  黑客攻击  网络钓鱼 

区块链中的双重支付及其预防方法

本文深入探讨了区块链中的双重支付问题,解释了其原理、攻击方式(如Finney攻击、竞争攻击、51%攻击),以及区块链和用户如何防范双重支付攻击。文章还提到了拜占庭将军问题与双重支付的关联,以及通过协议审计来发现和修复漏洞的重要性。
双重支付  区块链安全  Finney攻击  51%攻击  共识机制  UTXO 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 140 )

跨链互操作性和安全性 – Coinchange报告概要

本文分析了跨链桥在区块链互操作性中的重要作用及其面临的安全挑战。报告指出,桥接攻击已成为DeFi领域资金被盗的主要原因,并深入探讨了桥接安全的三大支柱:经济安全、实施安全和环境安全,同时还提出了应对桥接风险的缓解措施,强调了风险评估框架的重要性。
跨链桥  互操作性  安全  DeFi  攻击  风险评估 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 138 )

区块链中的抢跑交易:真实案例与预防

in  攻防与案例
本文深入探讨了加密领域中的抢跑交易(Front-Running)问题,解释了其在DeFi中的运作方式,包括通过操纵交易顺序、Gas价格等手段获利。文章还分析了Hacken在智能合约审计中发现的潜在抢跑漏洞案例,并提出了平台和用户应采取的预防措施,同时提及了白帽黑客利用MEV机器人进行反制。
抢跑交易  MEV  智能合约  安全审计  DeFi  以太坊 
  • hacken
  • 发布于 2025-07-01
  • 阅读 ( 221 )

安全指南:使用 Solodit 保护智能合约

本文介绍了 Solodit 社区维护的智能合约安全审计检查表,强调了智能合约安全的重要性,并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源,并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施,同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。
智能合约  安全审计  Solodit 检查表  重入攻击  拒绝服务  前置交易  以太坊  漏洞 

OpenZeppelin Defender 将停止服务 - 常见问题

OpenZeppelin Defender将于2026年7月1日停止提供托管服务,用户需要迁移到开源版本。开源版本Relayers和Monitor将以Docker镜像形式提供,并支持KMS集成。迁移有12个月的缓冲期,OpenZeppelin将提供详细的迁移指南,并提供技术支持,以确保平稳过渡。
OpenZeppelin Defender  开源  迁移  relayers  Monitor  Docker 

利用形式化验证查找编译器 Bug

本文介绍了Certora团队开发的一款用于验证编译器优化的等价性检查工具,该工具通过比较优化前后程序的行为来检测编译器bug。文章还分享了该工具在Vyper编译器中发现的一个优化bug,该bug导致局部变量被错误地映射到相同的堆栈位置,从而改变了程序的行为。该bug已在Vyper 0.4.2版本中修复。
编译器优化  等价性检查  形式化验证  Vyper  Certora Prover  bug检测 
  • Certora
  • 发布于 2025-07-01
  • 阅读 ( 988 )
  • ( 3 )

EDE、Jimbos、CS Token 安全实践:预言机后门、滑点漏洞与闪电贷攻击

本文总结了近期DeFi领域发生的多起安全事件,包括El Dorado Exchange的价格预言机操纵漏洞、Jimbos Protocol的滑点控制不足问题、CS Token的闪电贷操纵价格漏洞、Local Traders的权限检查缺失漏洞以及Sell Token的输入验证不当漏洞。这些事件暴露出DeFi系统在面临攻击时的脆弱性,强调了输入验证、权限控制和对抗性环境设计的重要性。
DeFi  漏洞  预言机  闪电贷  权限控制  输入验证 

Palmswap、Biswap、LibertiVault:当价格曲线、权限和重入全部失效

本文总结了2023年7月发生的四起DeFi安全事件,Palmswap由于价格操纵损失90万美元,LibertiVault由于重入攻击损失45万美元,Bamboo AI由于价格操纵损失5.3万美元,Biswap由于访问控制漏洞损失86.5万美元。这些事件提醒人们,DeFi项目中信任假设和缺失的安全措施会导致重大损失。
DeFi  漏洞  价格操纵  重入攻击  访问控制  智能合约 

实用工具 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中的实用工具合约和库,用于提高智能合约的安全性、处理新型数据类型以及安全地使用底层原语。包括安全工具(如Pausable和ReentrancyGuard),以及用于处理地址、数组和字符串的库。此外,还介绍了用于处理计数器、可枚举映射和集合的实用工具,以及安全使用CREATE2操作码的工具。
Pausable  ReentrancyGuard  EnumerableMap  EnumerableSet  CREATE2  重入攻击  安全转换 

Stylus 合约库 v0.2.0 审计

本次是对 OpenZeppelin 的 rust-contracts-stylus 代码库进行审计的结果总结。审计范围包括密码学库和合约库,共发现 22 个问题,包括1个高危、2个中危、9个低危问题。密码学库包含算术、曲线、域操作以及Poseidon2、Pedersen哈希算法的实现;合约库实现了ERC-20,ERC-1155等token 标准,以及访问控制,金融等相关合约。
代码审计  Rust语言  智能合约  密码学  ERC-20  ERC-1155 

Silo Finance 杠杆合约攻击事件事后分析

in  攻击事件解析 2025
Silo Finance 的一个新杠杆合约模块在测试阶段遭到攻击,由于过于宽泛的批准设置导致借款操控漏洞。该模块与核心Silo协议隔离,因此核心协议、金库、市场或用户资金未受影响。Certora 此前对该合约进行了安全审查,但未发现此漏洞,事后进行了风险评估和补救措施,并确认现有Silo代码是安全的。
Silo Finance  杠杆合约  安全漏洞  Certora  风险评估  形式化验证  智能合约 
  • Certora
  • 发布于 2025-06-28
  • 阅读 ( 1018 )
  • ( 5 )

Curve Finance流动性池遭黑客攻击事件始末

in  攻击事件解析 2025
Curve Finance 在 2023 年 7 月 30 日遭受了重入攻击,损失高达 6900 万美元。根本原因是 Vyper 编程语言的编译器漏洞,该漏洞导致存储槽不匹配并扰乱了非重入保护。白帽社区成功追回了 70% 的损失,最终损失约为2000万美元。
Curve Finance  Vyper  重入攻击  编译器漏洞  DeFi 安全  以太坊 
  • hacken
  • 发布于 2025-06-27
  • 阅读 ( 123 )

51%攻击:概念、风险与预防

本文深入探讨了Web3中51%攻击的原理、风险和预防措施。51%攻击是指攻击者控制超过51%的网络算力,从而篡改交易历史、阻止交易完成、阻止验证者获得奖励以及进行双重支付。文章还讨论了51%攻击的成本、后果,并列举了比特币黄金和以太坊经典等真实案例,提出了更改共识算法、延迟区块链确认、实施惩罚系统等预防方法。
51%攻击  区块链安全  双重支付  共识算法  算力  攻击预防 
  • hacken
  • 发布于 2025-06-27
  • 阅读 ( 156 )

网络钓鱼攻击日益复杂

本文是一位网络安全专家分享了自己亲身经历的一次复杂加密货币钓鱼攻击,攻击者通过伪装成Coinbase员工,利用社工手段和多渠道协同,试图诱导受害者转移资产到虚假的Coinbase Vault中。作者详细拆解了攻击过程中的各种欺骗手段和危险信号,并分享了实用的安全建议,旨在帮助数字资产投资者识别和防范日益复杂网络钓鱼攻击。
网络钓鱼  加密货币  Coinbase  安全  多重签名钱包  社会工程学 
  • Galaxy
  • 发布于 2025-06-27
  • 阅读 ( 1103 )
  • ( 35 )

揭示Solana的ZK ElGamal证明程序中的幻影挑战可靠性漏洞- ZKSECURITY

在Solana的ZK ElGamal Proof Program中发现了一个严重的声音漏洞,该漏洞允许恶意证明者伪造sigma OR 证明,绕过机密传输中的费用验证。攻击者可以操纵加密的费用金额来任意铸造或烧毁Token,而无需泄露实际的传输价值。该漏洞的根本原因是Fiat-Shamir转换中的一个微妙错误,即一个由证明者生成的“挑战”值未被吸收到transcript中。
零知识证明  Solana  ZK ElGamal Proof Program  sigma OR 证明  Fiat-Shamir转换  密码学 

Euler Finance 黑客攻击事件详解

in  攻击事件解析 2025
2023年3月,Euler Finance 协议遭受闪电贷攻击,损失高达1.87亿美元。攻击者通过创建多个合约,利用 Aave 闪电贷,并利用 Euler Finance 合约中 donateToReserves 函数缺乏流动性检查和健康评分的缺陷,成功窃取大量资金。
Euler Finance  闪电贷攻击  智能合约  安全漏洞  流动性检查  健康评分 
  • hacken
  • 发布于 2025-06-27
  • 阅读 ( 135 )