全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

揭示Solana的ZK ElGamal证明程序中的幻影挑战可靠性漏洞- ZKSECURITY

在Solana的ZK ElGamal Proof Program中发现了一个严重的声音漏洞,该漏洞允许恶意证明者伪造sigma OR 证明,绕过机密传输中的费用验证。攻击者可以操纵加密的费用金额来任意铸造或烧毁Token,而无需泄露实际的传输价值。该漏洞的根本原因是Fiat-Shamir转换中的一个微妙错误,即一个由证明者生成的“挑战”值未被吸收到transcript中。
零知识证明  Solana  ZK ElGamal Proof Program  sigma OR 证明  Fiat-Shamir转换  密码学 

如何超越私钥风险,实现智能合约彻底安全

文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
私钥泄露  多重签名  时间锁  最小权限原则  访问控制  智能合约安全 

零时科技 || SiloFinance 攻击事件分析

我们监控到 Ethereum 上针对 SiloFinance 的攻击事件,攻击共造成 54.6k USD 的损失。

Hyperlane 速率限制 ISM 和 Hook 中的访问控制缺陷

作者在 Hyperlane 的智能合约代码库中发现了一个严重漏洞,该漏洞存在于其速率限制的实现中,攻击者可以以极小的成本完全关闭跨链Token传输和消息验证,Hyperlane 团队通过实施适当的访问控制措施解决了该问题。
Hyperlane  跨链通信  速率限制  智能合约  拒绝服务攻击  访问控制 

Solodit清单详解:Rug Pull

本文解释了Solodit Checklist中的关于“Rug Pull”的风险,即管理员权限过大导致恶意提取用户资金的安全问题。文章通过Zunami Protocol事件,强调了限制管理员权限的重要性,并提供了诸如费用分离、时间锁等安全设计模式,以降低合约风险,保障用户资产安全。
rug pull  智能合约  管理员权限  安全漏洞  DeFi  Solidity 
  • Cyfrin
  • 发布于 2025-06-26
  • 阅读 ( 755 )
  • ( 68 )

自定义脚本 - OpenZeppelin 文档

本文介绍了OpenZeppelin Monitor的自定义脚本功能,该功能允许用户实现自定义的过滤器脚本和通知处理脚本,从而实现更精细的监控匹配和个性化的通知处理。文章详细说明了如何使用 Bash、Python 和 JavaScript 创建脚本,以及脚本的输入输出要求。此外,还提供了性能方面的考虑,例如文件描述符限制、脚本超时和资源使用情况。
OpenZeppelin Monitor  自定义脚本  过滤器脚本  通知脚本  Bash  Python  JavaScript 

内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计

文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。
Solana  Rust  智能合约  安全审计  漏洞  内存安全  Anchor  跨程序调用 

🎯 有状态模糊测试与无状态模糊测试

本文深入探讨了无状态模糊测试和有状态模糊测试在智能合约安全中的作用。无状态模糊测试将每个测试案例视为独立事件,适用于快速发现输入验证和简单功能中的漏洞。有状态模糊测试则追踪系统状态,模拟真实攻击行为,擅长检测多步骤交互和状态依赖性漏洞,如重入攻击和经济漏洞。文章还介绍了混合模糊测试策略、工具和实践,强调了在DeFi安全中综合运用两种方法的重要性。
模糊测试  智能合约  安全  无状态模糊测试  有状态模糊测试  DeFi 

Web3 从业者旅行时的安全指南

本文是由 SEAL (Security Alliance) 发布的关于旅行安全框架的工作草案,旨在为开发者、安全专家和其他 Web3 从业者提供旅行时的安全建议。内容涵盖旅行前、旅行中和返回后的安全措施,以及针对高风险人群的额外保护措施,包括设备加密、网络安全、物理安全和应对边境检查的策略,以最大限度地减少数据泄露和潜在威胁。
安全  旅行安全  加密  网络安全  物理安全  Web3 

什么是即时加密货币交易所,以及它们为何会成为洗钱的热点?

本文分析了即时加密货币交易所(ICEs)的工作原理,揭示了其在便利用户进行跨链资产交换的同时,如何被用于洗钱等非法活动。研究团队提出了一种基于启发式的匹配算法,用于追踪通过ICEs转移的非法资金,并发现大量非法资金通过ICEs流入中心化交易所,呼吁对ICEs进行更合理的监管。
即时加密货币交易所  ICE  洗钱  资金追踪  AML  区块链安全 

BlockThreat 2025年第25周周报

本周重点关注了加密货币领域中的安全事件,包括伊朗交易所Nobitex被亲以色列组织攻击,CoinMarketCap和Cointelegraph遭受网络钓鱼攻击,以及多个DeFi项目遭受的攻击和漏洞。文章还讨论了社区内部的争端和信任问题,以及各种恶意软件和诈骗活动。
加密货币  安全漏洞  网络钓鱼  DeFi  恶意软件  诈骗 

如何确保强制交易模拟执行与真实执行的一致性

文章讨论了在区块链交易中模拟执行与实际执行之间状态差异的问题。提出了一种通过在交易中附加状态约束来解决此问题的方法,这些约束在交易执行前进行检查,确保交易在符合预期状态的条件下进行,从而提高交易的安全性和可靠性。文章还探讨了EIP-7702等以太坊改进提案如何为此方法提供更好的用户体验和效率
交易模拟  状态约束  EIP-7702  智能合约  区块链安全  状态发散 

快速入门指南 - OpenZeppelin 文档

本文档是OpenZeppelin Monitor的快速入门指南,介绍了如何设置和使用OpenZeppelin Monitor来监控区块链事件和交易,包括EVM和Stellar网络。通过自动化或手动方式设置Monitor,配置监控USDC transfer和Stellar DEX swap,并设置Slack和Email的通知。
OpenZeppelin Monitor  区块链监控  EVM  Stellar  USDC transfer  DEX swap  Slack  Email 

顶级智能合约审计师的真实收入有多少?

本文介绍了智能合约审计领域中一些顶级审计师的收入情况,包括Trust、Pashov、Owen Thurm和CMichel。这些审计师通过智能合约审计、安全咨询、漏洞赏金等方式获得了可观的收入,表明智能合约审计是区块链生态系统中一个重要的且经济回报丰厚的职业道路。
智能合约审计  区块链安全  漏洞  赏金  收入  Web3 

现代重入攻击:超越常见利用方式

本文深入探讨了现代重入漏洞,这种漏洞不仅仅是传统意义上的在状态更新完成前进行外部调用。文章通过实例展示了如何在只读视图(view)函数中利用重入漏洞,以及自动化检测工具的局限性。同时,强调了安全审计的重要性,并提出了有效的防御措施,例如在执行过程中防止关键视图调用。
重入漏洞  智能合约  安全审计  视图函数  以太坊  攻击向量 
  • cantina
  • 发布于 2025-06-25
  • 阅读 ( 576 )
  • ( 28 )

HuionePay链上分析:揭示超过550亿美元的USDT资金流动

本文是由SlowMist团队发布的关于HuionePay平台在TRON链上USDT交易活动的链上分析报告。报告利用MistTrack工具和Dune Analytics数据面板,深入分析了HuionePay的资金流动模式、交易频率和活跃地址数据,揭示了该平台与非法资金流动的潜在联系,并强调了持续监控和加强AML合规的重要性。
HuionePay  USDT  TRON  链上分析  反洗钱  MistTrack 
  • slowmist
  • 发布于 2025-06-24
  • 阅读 ( 860 )
  • ( 69 )

Fuzzland安全事件披露与社区公告

Fuzzland披露了一起安全事件的详细信息,该事件导致Bedrock的UniBTC协议遭到利用。一名前Fuzzland员工利用内部权限,通过社会工程、供应链攻击等手段窃取敏感信息,导致UniBTC协议被利用。Fuzzland已补偿Bedrock的损失,并与安全公司及执法部门合作进行调查,同时分享经验教训,以帮助加密社区加强防御。
供应链安全  社会工程  内部威胁  安全事件  漏洞利用  信息安全 
  • Fuzzland
  • 发布于 2025-06-24
  • 阅读 ( 720 )
  • ( 61 )

区块链的可升级性模式分析 - ImmuneBytes

文章探讨了智能合约的可升级性,对比了以太坊、Solana、Cosmos和Substrate等不同区块链生态系统中实现升级的不同模式,并分析了各种升级模式下的安全风险,例如访问控制不当、状态损坏、合约崩溃和治理漏洞,最后给出了安全升级的建议。
智能合约  可升级性  代理模式  EVM  Solana  Cosmos 

攻破电话:如何解决Ethernaut的挑战#4

本文深入解析了Ethernaut的Phone挑战,揭示了Solidity中`tx.origin`和`msg.sender`的区别及其安全隐患。通过构建攻击合约并利用Foundry进行测试和部署,展示了如何利用`tx.origin`漏洞篡夺合约所有权。强调在实际DeFi项目中应避免使用`tx.origin`进行身份验证,并推荐使用`msg.sender`或基于角色的访问控制。
tx.origin  msg.sender  Solidity  漏洞  Foundry  智能合约安全 

安全销毁用户拥有的对象

AIP-45 提议了一种机制,允许 Aptos 用户将拥有的任何对象单方面转移到一个全局销毁地址,从而解决用户账户上出现不希望的内容的问题。这使得用户能够通过将不需要的数据的所有权转移到安全销毁地址,来管理与其账户关联的数据。此提案旨在缓解接收未经请求内容的问题,并已选择为一种安全手段,可以在不破坏其他应用程序的情况下删除与用户账户关联的内容。
Aptos  对象销毁  数字资产  安全  区块链  未请求内容