全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Mobius代币爆炸性漏洞利用:铸造数万亿MBU的漏洞

Mobius项目由于智能合约中的一个漏洞,攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中,计算代币数量时的一个乘法运算缺少了除以10^18的步骤,导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞,从零地址铸造了大量的MBU,并通过一系列操作将资金转移。
智能合约  漏洞  代币增发  MBU代币  以太坊  区块链安全 

BitsLab“Web3 护航计划”安全团队发现并已协助 Meme 交易平台 Android App 修复任意账号接管漏洞

5月21日,由BitsLab发起的'Web3护航计划'中的安全团队发现某知名Meme交易平台AndroidApp中存在任意账户接管漏洞,并协助其完成修复。通过对APP的审计发现其使⽤了第三⽅浏览器组件,该组件的onCreate⽅法中存在IntentRedirec
  • BitsLab
  • 发布于 2025-05-22
  • 阅读 ( 119 )

2025 年 Web3 安全现状

本文回顾了 DeFi Security Summit、DeFi World 和 DevCon 上关于 Web3 安全的讨论,总结了 2025 年 Web3 安全的风险和机遇,包括常见的智能合约漏洞、针对开发环境的钓鱼攻击,以及未满足的不变量等。
web3安全  智能合约漏洞  DevSecOps  fuzzing  静态分析  区块链防火墙 
  • cNoveron
  • 发布于 2025-05-20
  • 阅读 ( 185 )
  • ( 11 )

保护隐私的机器学习:同态加密和联邦学习

本文探讨了两种保护隐私的机器学习方法:同态加密和联邦学习,并将其应用于欺诈检测。同态加密允许在加密数据上进行计算,而无需解密;联邦学习则允许多方在不共享原始数据的情况下协同训练模型。文章介绍了使用这两种技术进行信用卡欺诈检测的实践案例,包括使用OpenFHE库和联邦学习系统Starlit。
同态加密  联邦学习  欺诈检测  隐私保护  机器学习  OpenFHE 

Damn Vulnerable DeFi V4 解决方案 — #11. Backdoor

本文分析了Damn Vulnerable DeFi V4的Backdoor挑战,该挑战利用了WalletRegistry和Safe钱包初始化过程中的漏洞。
智能合约安全  delegate call  漏洞分析  以太坊  Safe钱包  Damn Vulnerable DeFi 

Matter Labs GuardianRecoveryValidator 审计

该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告,审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。
智能合约  审计报告  安全漏洞  以太坊  zkSync  账户抽象 

SSO账户恢复电路审计

该文档是OpenZeppelin对Moonsong-Labs/zksync-social-login-circuit代码仓库进行的安全审计报告,主要内容是利用零知识证明验证Google账户所有权的Circom电路,用于智能账户恢复,审计发现了一些完整性和非确定性问题,并提出了改进代码质量的建议。
零知识证明  zkSync  智能合约  安全审计  circom  账户恢复 

SSO账户OIDC恢复Solidity审计

本次审计主要评估了 Matter Labs 的 zksync-sso-clave-contracts 仓库中关于使用 OpenID Connect (OIDC) 进行账户恢复的合约。
OIDC  账户恢复  零知识证明  智能合约  安全审计  签名重放攻击 

WASM与安全性

本文介绍了WebAssembly (WASM) 如何通过创建独立的沙箱环境、移除不安全的方法和提供内存保护来增强应用程序的安全性。同时,WASM 还能够提升如zkSnarks、HQC和McEliece等高性能要求的密码学算法的运行效率,并提供了相关的集成案例。
WebAssembly (WASM)  安全沙箱  zkSNARKs  HQC  McEliece  密码学 

零时科技入选安全牛第十二版《中国网络安全行业全景图》

安全牛第十二版《中国网络安全行业全景图》,零时科技强势入围“区块链安全”领域。
区块链安全  安全牛 

OKX研究院 | 账户抽象10年演进终局之战,透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
eth  Vitalik  账号抽象 
  • 十四君
  • 发布于 2025-05-13
  • 阅读 ( 436 )
  • ( 25 )

Damn Vulnerable DeFi V4 解决方案 —— #10. Free Rider

本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞,该漏洞存在于NFT市场的购买逻辑中,由于在支付卖家之前就将NFT转移给买家,导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金,购买所有NFT,然后将NFT转移到recoveryManager合约以获得赏金,最后偿还闪电贷。
智能合约  漏洞  NFT  闪电贷  重入攻击  以太坊 

Across Linea CCTP差异审计

本文是对Across协议的智能合约进行安全审计的报告,重点关注为了集成Circle CCTP V2版本协议对合约所做的修改,以支持在以太坊和Linea区块链之间桥接USDC代币。审计发现了一些低风险问题,包括CCTP版本检查的可靠性问题和文档不足,并提出了相应的改进建议。总体而言,代码变更实现了使用CCTP协议的第二个版本将USDC桥接到Linea区块链的功能。
CCTP  USDC  Linea  智能合约  安全审计  桥接协议  以太坊 

Across协议 SVM Solidity审计

本文是对Across协议的Solidity合约进行的安全审计报告,重点关注了为支持Solana网络和ERC-7683订单所做的代码更改。审计发现了包括潜在的资金池耗尽漏洞、地址转换错误、重复代码、缺少单元测试等问题,并提出了修复建议。报告还包括对之前提交的PR的审查以及客户端报告的问题。
智能合约  安全审计  Solidity  区块链安全  以太坊  Solana 

安全 - Across 审计

本次审核了across-protocol/contracts代码仓库,主要关注L3支持、ZkStack支持、可预测的中继哈希、支持最新版本的ERC-7683以及World Chain支持。发现了多个安全问题,包括缺少访问控制、错误的函数调用、不正确的ETH传输处理,以及潜在的重放攻击等。建议改进代码,增加测试,并确保代码符合最新的ERC-7683标准。
跨链桥  智能合约  安全审计  以太坊  ERC-7683  ZkStack 

Across 协议 Diff 审计 - Arbitrum 自定义 GasToken 和独占期

本文是一篇针对 Across 协议的智能合约代码审计报告,该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题,并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。
智能合约  代码审计  以太坊  漏洞  gas token  安全性 

如何管理 TimelockController 的角色 - OpenZeppelin 文档

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约,用于在操作排队和执行之间强制实施延迟,以提高去中心化治理的安全性。通过 Defender,用户可以导入 TimelockController 合约,创建提案,授予和撤销角色,从而实现对合约权限的集中管理。
TimelockController  OpenZeppelin Defender  访问控制  角色管理  提案  智能合约 

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞:RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
  • BitsLab
  • 发布于 2025-05-12
  • 阅读 ( 276 )
  • ( 8 )

编写自动化智能合约测试 - OpenZeppelin 文档

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境(使用本地区块链)、编写单元测试(使用Chai断言库),以及执行复杂断言的方式(使用OpenZeppelin Test Helpers)。文章还提及了持续集成服务(如CircleCI)的设置,以便每次提交代码到GitHub时自动运行测试。
智能合约  自动化测试  单元测试  Chai断言库  OpenZeppelin Test Helpers  本地区块链 

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
以太坊  交易模拟  Calldata  UI欺骗  Foundry  Python 
  • cyfrin
  • 发布于 2025-05-10
  • 阅读 ( 354 )
  • ( 19 )