此次Cetus受攻击的原因及影响暂时还不清楚，我们可以先看一下Cetus的代码安全审计情况。外行咱们看不懂具体的技术，但是这个审计摘要是能看懂的。➤Certik的审计来看，Certik对Cetus的代码安全审计，只发现2个轻度危险、且已解决。还有9个信息性风险，6个已解决。Cer

本文深入探讨了智能合约中重入攻击的原理、危害以及防御方法。文章通过具体的代码示例，详细解释了经典重入攻击和只读重入攻击的利用方式和防范措施，强调了Check-Effects-Interactions模式和重入锁Guard在保障智能合约安全中的重要性。尤其针对view函数在特定情况下可能返回过期数据的问题提出了应对方案。

本文探讨了形式化验证在智能合约开发中的重要性，通过数学证明来确保代码的正确性，从而避免因漏洞造成的巨大经济损失。文章通过案例分析（如DAO和Parity Wallet漏洞）强调了形式化验证的必要性，并介绍了Chronos Vault如何利用多层数学验证框架和先进技术来保障智能合约的安全性。

本文讨论了加密货币中最大可提取价值（MEV）的问题，以及如何使用可信执行环境（TEE）和不经意随机存取存储器（ORAM）来缓解MEV攻击。文章介绍了Flashbots的BuilderNet架构和Oblivious Labs在实现私有订单流和数据访问层面的工作，以保护用户隐私和防止信息泄露。

5月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 1.82 亿美元

Chronos Vault 提出了一种名为 Trinity Bridge 的新型跨链桥解决方案，旨在解决传统桥在安全性、速度和去中心化方面面临的“不可能三角”问题。Trinity Bridge 通过在以太坊、Solana 和 TON 三个独立的区块链网络上达成共识，并结合零知识证明、量子安全加密和实时威胁检测等先进技术，提供数学上可证明的安全保障，从而避免了以往桥遭受的重大攻击。

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件，主要分析了不一致的Scaling问题，包括MBU Token由于Scaling不匹配导致攻击者获利200万美元，以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。

本文介绍了SipHash算法，它是由JP Aumasson和Daniel J Bernstein (djb)共同设计的一种快速哈希算法，旨在解决哈希表在面对拒绝服务（DoS）攻击时的脆弱性。SipHash通过密钥哈希的方式，在保证速度的同时，提供了较好的安全性，尤其适用于网络应用和WebAssembly (WASM)等场景，且比HMAC更快。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞，该漏洞通过模糊测试发现，但在安全竞赛中被遗漏。该漏洞与舍入误差有关，导致每个 Vault 份额的价格意外下降，从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。

本文分析了多个利用智能合约标准（如ERC777、ERC20 Permit、ERC1155、EIP-2535等）漏洞进行攻击的案例，强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等，并建议采取多层次验证措施，如单元测试、模糊测试和模拟攻击，以降低漏洞风险。

本文深入探讨了Fairblock这一动态保密计算平台，旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案，结合多方计算(MPC)、同态加密(HE)等加密技术，为DeFi、AI和博弈等应用实现链上保密，构建一个值得信任且无腐败的市场环境，从而推动机构采用和更广泛的Web3应用。

本文档介绍了OpenZeppelin Contracts库在不同版本之间的向后兼容性保证，包括API和存储布局的兼容性。文章解释了在patch和minor版本更新中通常会保持向后兼容，但某些情况下可能会有例外，特别是涉及到安全问题或draft状态的ERC标准时。同时提醒了override函数、struct结构体以及错误处理等方面需要注意的问题，并强调了major版本更新通常不保证兼容性。

该文档介绍了如何使用Contracts Wizard Deploy Plugin将智能合约直接部署到OpenZeppelin Defender账户。内容涵盖API密钥的生成、在Contracts Wizard中的配置、网络选择、审批流程设置以及合约的部署过程，包括确定性部署的配置。还介绍了完成部署后的后续步骤，并提供了反馈渠道。

我们监控到 SUI 上针对 Cetus 的攻击事件，攻击共造成 223M USD 的损失

本文总结了智能合约开发中常见的由于开发者疏忽导致的漏洞，例如整数溢出、数组越界访问、重入攻击等。文章列举了多个真实案例，并提供了一个检查清单，帮助开发者和审计人员在开发和审计过程中避免这些低级错误。此外，文章还推荐了Slither、MythX等静态分析工具和Echidna、Foundry-fuzz等模糊测试工具，以帮助开发者在早期发现和修复潜在的漏洞。

Mobius项目由于智能合约中的一个漏洞，攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中，计算代币数量时的一个乘法运算缺少了除以10^18的步骤，导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞，从零地址铸造了大量的MBU，并通过一系列操作将资金转移。

本文回顾了 DeFi Security Summit、DeFi World 和 DevCon 上关于 Web3 安全的讨论，总结了 2025 年 Web3 安全的风险和机遇，包括常见的智能合约漏洞、针对开发环境的钓鱼攻击，以及未满足的不变量等。

安全牛第十二版《中国网络安全行业全景图》，零时科技强势入围“区块链安全”领域。

为什么EIP-7702能被称为账户抽象“终极形态”？它到底解决了啥问题？Pectra 升级后对钱包、开发者和普通用户意味着什么？