全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

请求向导:像专家一样掌握速率限制的艺术

本文深入探讨了速率限制算法,包括固定窗口计数器、滑动窗口日志、Token桶和漏桶算法,提供了Node.js代码示例,并讨论了每种算法的适用场景和优缺点。同时,文章还分析了在生产环境中Token桶算法成为最常用选择的原因,以及与其他算法相比的优势,例如灵活性、可扩展性和用户体验。
速率限制  算法  令牌桶  滑动窗口  固定窗口  Node.js 

添加完整的私有网络 - OpenZeppelin 文档

本文档介绍了如何在OpenZeppelin Defender中添加完整的私有网络,包括配置私有网络、部署Safe合约以及创建 subgraph。通过Tenderly创建网络,部署Safe合约,并配置Defender subgraph toolkit,最终实现支持智能合约的部署、监控和管理。
私有网络  OpenZeppelin Defender  Safe合约  subgraph  智能合约  tenderly 

【安全月报】| 3月因加密货币漏洞和诈骗造成损失达3,871万美元

3月发生 20次 加密货币黑客攻击,被盗资金超过 3871万 美元。代码漏洞导致的损失最多,超过1,400万美元;钱包被入侵导致超过800万美元被盗。
安全月报  黑客攻击  漏洞攻击 

揭示朝鲜黑客威胁的真相

本文详细介绍了朝鲜黑客在加密货币行业的活动,包括针对Bybit交易所的黑客攻击,以及与多个北朝鲜黑客组织(如Lazarus Group、APT38等)的关联。文章探讨了这些组织的架构、攻击手法和发展演变,并提供了企业和个人防范这些攻击的建议。
北朝鲜  黑客  加密货币  Lazarus Group  APT38  安全防护 
  • Paradigm
  • 发布于 2025-04-01
  • 阅读 ( 2519 )
  • ( 51 )

贡献指南 - OpenZeppelin 文档

本文档是OpenZeppelin Monitor项目的贡献指南,详细介绍了如何参与该项目的开发。
OpenZeppelin  贡献指南  CLA  GPG签名  Rust  pre-commit hooks 

Defender - OpenZeppelin 文档

OpenZeppelin Defender 是一个开发者安全平台,旨在帮助开发者在区块链应用的编码、审计、部署、监控和运营的各个阶段更有信心地保障安全。它提供多种订阅模式,并集成了代码检查、审计管理、部署管理、Relayer、监控、事务提议、自动化操作、地址簿和访问控制等模块,支持多种主网和测试网络,还提供与其他服务的集成。付费订阅用户可享有增强的服务可靠性、正常运行时间和优先支持。
OpenZeppelin Defender  安全平台  智能合约安全  区块链安全  代码审计  安全监控 

设置 - OpenZeppelin 文档

本文档介绍了 OpenZeppelin Defender 平台中的 Settings 模块,包括审批流程管理、通知渠道配置(Slack、Email、Discord、Telegram等)、团队成员管理(角色、2FA)、密钥管理、API 密钥管理、自定义网络(Forked 和 Private)以及一些高级设置(导出配置和删除账户)。该模块用于 Defender 的配置和管理,保障链上交易的安全。
OpenZeppelin Defender  配置管理  审批流程  通知渠道  团队成员  API密钥  自定义网络  双因素认证  多重签名 

PCI DSS v4 加强网络安全

文章讨论了PCI DSS v4版本对于加强网络安全的意义,特别是在加密方面的改进。新版本要求对存储的账户数据进行更严格的保护,并强调在传输和存储过程中使用强加密。此外,文章还提到了代替加密的其他方法,如截断、掩蔽和哈希,并强调了使用keyed-hashed(如HMAC)的重要性以增强安全性。
PCI DSS v4  加密  网络安全  数据安全  支付卡行业数据安全标准  HMAC 

智能合约生命周期和安全性概述 - ImmuneBytes

本文探讨了智能合约生命周期中的安全问题,并强调了“左移方法”的重要性,这种方法提倡在开发的早期阶段就集成安全措施,从而及早发现和解决漏洞,降低开发成本,提高代码质量,最终增强用户信任并促进区块链生态系统的可持续发展。
智能合约  安全  生命周期  左移方法  漏洞  区块链 

深入了解价值 1300 万美元的 Abracadabra GMX V2 漏洞攻击

Abracadabra 平台的 GmxV2 CauldronV4 合约由于不完善的抵押品计算方式遭受了 1300 万美元的攻击。攻击者通过操纵失败的订单,绕过了偿付能力检查,从而提取了资金。文章详细分析了攻击的原理、流程,以及如何通过修改合约代码来防止此类攻击,并总结了此次攻击事件的影响。
GMX V2  Abracadabra  漏洞利用  智能合约  DeFi  重入攻击 

Solady 审计以增强整个生态系统的链上安全

Base 资助了 Solady 库的第三方安全审计,主动识别并解决了多个安全问题。Solady v0.1.1 已发布,建议开发者升级。审计发现并修复了包括 ERC-6492 实现中的严重漏洞在内的多个问题,这些漏洞可能导致未经授权的资金转移。Base 强调安全是其首要任务,并致力于通过投资安全研究和开源基础设施审计来提升整个以太坊生态系统的安全性。
Solady  智能合约  安全审计  ERC-6492  漏洞  以太坊 

慢雾:深入探讨 EIP-7702 与最佳实践

作者:Kong编辑:Sherry前言以太坊即将迎来Pectra升级,这无疑是一次意义重大的更新,众多重要的以太坊改进提案将借此契机被引入。其中,EIP-7702对以太坊外部账户(EOA)进行了变革性的改造。该提案模糊了EOA与合约账户CA之间的界限,是继EIP-4337之后
EIP-7702 

网络文件 - OpenZeppelin 文档

本文介绍了OpenZeppelin Hardhat Upgrades插件如何通过`.openzeppelin`文件夹中的网络文件来跟踪已部署的合约版本。
OpenZeppelin  Hardhat  升级  合约版本  存储布局  网络文件 

RISC Zero的ZK-VM安全性:Veridise如何帮助RISC Zero实现可证明和持续的零知识验证…

本文介绍了Veridise与RISC Zero在zkVM安全方面的合作,强调通过自动化零知识验证工具Picus实现持续的安全验证,确保RISC Zero开发的zkVM具备正式的安全保证。文中详细描述了三种关键漏洞及其修复方法,展现了如何通过深度合作提高零知识系统的安全标准。
zkVM  RISC-V  零知识证明  安全审计  自动化验证  形式化方法 
  • Veridise
  • 发布于 2025-03-27
  • 阅读 ( 838 )
  • ( 23 )

WisdomTree Digital 白名单上下文审计

本文对WisdomTree Digital团队的白名单合规Oracle系统的全面审计,旨在识别潜在的漏洞和验证其遵循最佳实践的情况。审计过程中发现了20个问题,提出了许多改善建议,特别是在访问控制的粒度、代码可读性及审核合约的安全性方面。七个低严重性问题的提出使得系统在合规性和功能性上得到了增强。
白名单  审计  ERC-721  智能合约  安全性  访问控制 

模糊测试与不变性测试 - ImmuneBytes

本文介绍了模糊测试(Fuzz Testing)在智能合约中的应用,特别是在Solidity中。模糊测试通过生成随机输入来测试代码中可能被忽略的边界情况,结合不变性测试验证系统在各种情况下的预期行为。文章还探讨了有状态和无状态模糊测试、有界模型检查(BMC)以及端到端测试与模糊测试的结合,旨在提高智能合约的安全性。
模糊测试  智能合约  Solidity  不变性测试  有界模型检查  端到端测试 

案例研究:Lomads DApp 安全审查 – ImmuneBytes

Lomads是一个去中心化自治组织(DAO)创建和管理平台,通过多重签名保险箱、SWEAT Points贡献跟踪和直观的用户界面来促进社区协作,并委托进行了全面的渗透测试以确保安全。该渗透测试发现了未经授权的DAO详细信息修改、多重签名保险箱状态切换、XSS漏洞、SWEAT Points禁用等关键问题,并提出了加强访问控制、输入验证、内容安全策略等改进建议。
DAO  渗透测试  多重签名  XSS  访问控制  安全 

智能合约安全审计入门:将不同合约部署到同一地址

本文分析了一种利用`CREATE`和`CREATE2`操作码在不同时间将不同合约部署到同一地址的攻击技术,并提供了相应的防御策略。
智能合约安全  CREATE  CREATE2  selfdestruct  delegatecall  代码哈希 
  • slowmist
  • 发布于 2025-03-22
  • 阅读 ( 658 )
  • ( 9 )

RISC Zero通往首个形式化验证RISC-V zkVM之路

RISC Zero正与Veridise合作,使用Picus工具对zkVM的组件进行形式化验证,以提升ZK安全性。通过数学方法证明电路的确定性,从而消除约束不足的错误,已成功验证Keccak加速器电路的确定性,并正在验证RISC-V电路。此举旨在创建一个既快速又安全zkVM,使开发者无需在性能和安全性之间妥协。
zk  zkVM  RISC-V  形式化验证  确定性  Picus 

OpenZeppelin 审计月刊 - 那些臭名昭著的错误 第2期

本篇文章为《臭名昭著的错误月刊》第2期,探讨了Web3领域内最近的漏洞与安全事件,详细分析了针对叉沙攻击、zkLend黑客事件的教训以及多个未验证合约的漏洞。通过审计发现的问题,比如属性宏遗漏后续属性和UniswapHook的Hook状态覆盖等,强调了安全性在合约开发中的重要性。
漏洞分析  web3安全  合约安全  黑客事件  审计发现  叉沙攻击