全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Certora 竞赛报告:Aquarius

本文是 Certora 对 Aquarius 项目进行的形式化验证竞赛报告,通过引入代码突变来评估参赛者编写的规范质量。报告详细列举了在 AccessControl、FeesController 和 Upgrade 等合约中发现的突变,展示了参赛者提交的高质量属性,并强调了发现的真实漏洞,如 Pending Upgrade 的 Code Hash 未被清除等问题。
形式化验证  智能合约  Certora Prover  代码突变  AccessControl  FeesController  漏洞 
  • Certora
  • 发布于 2025-08-27
  • 阅读 ( 300 )
  • ( 8 )

PoRv2:一种快速、透明的基于 ZK 的储备证明

本文介绍了PoRv2,一个基于零知识证明(ZKP)的快速、透明的储备证明系统,它结合了zk-proofs和Merkle树,允许用户在不需要外部审计的情况下验证交易所的负债。该系统使用plonky2 ZK算法,提高了效率和透明度,并提供了一个验证服务器以方便用户验证,旨在提高加密货币交易所的透明度和用户信任。
零知识证明  储备证明  zk-proofs  Merkle树  Plonky2  密码学  透明性 
  • osecio
  • 发布于 2025-08-27
  • 阅读 ( 758 )
  • ( 21 )

构建安全 Noir 电路的开发者指南

本文深入探讨了使用 Noir 构建零知识证明(ZKP)应用时常见的安全漏洞。文章详细分析了逻辑错误、有限域算术陷阱、意图与实现不符以及隐私泄露这四大类问题,并提供了具体的代码示例和审计关注点,旨在帮助开发者构建更安全可靠的 Noir 电路。
零知识证明  Noir  安全漏洞  有限域算术  隐私泄露  电路设计 

零时科技 || Equilibria 攻击事件分析

我们监控到 Ethereum 上针对 Equilibria 的攻击事件,本次攻击共造成约 63k USD 的损失。
黑客攻击  攻击事件  区块链安全 

威胁情报:Clickfix网络钓鱼攻击

该文章分析了一种名为Clickfix的网络钓鱼攻击,攻击者通过模仿常见的机器人验证,诱骗用户执行恶意命令,从而下载恶意软件。恶意软件具有信息窃取、键盘记录和C2通信等行为,最终目的是窃取用户的敏感数据,包括加密货币钱包私钥。建议开发者和用户对不熟悉的命令保持警惕,并在隔离环境中执行调试或命令。
Clickfix  网络钓鱼  恶意软件  信息窃取  键盘记录  C2通信 
  • slowmist
  • 发布于 2025-08-23
  • 阅读 ( 426 )
  • ( 12 )

利用图像缩放攻击生产环境中的AI系统

本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像,利用图像缩放算法的特性,在图像缩小时嵌入恶意提示,实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证,并提供了防御建议和开源工具Anamorpher。
图像缩放攻击  多模态提示注入  数据泄露  AI安全  Anamorpher  Gemini CLI 

你可能用错了 WebView:移动开发者常见的安全隐患

本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView  安全漏洞  加密货币钱包  用户界面攻击  来源欺骗  消息拦截 
  • zellic
  • 发布于 2025-08-22
  • 阅读 ( 1538 )
  • ( 76 )

Echidna 验证与探索模式:利用 hevm 增强的符号执行

Echidna 通过集成 hevm 增强的符号执行能力,引入了两种新模式:验证模式(用于无状态测试,旨在证明不存在错误)和探索模式(结合符号执行与模糊测试,用于识别状态变化中的断言失败)。文章通过实例展示了这两种模式的应用,并讨论了符号执行的局限性以及未来的改进方向,例如改进用户界面、自动提取参数边界和建立基准测试。
Echidna  符号执行  模糊测试  hevm  智能合约安全  形式验证 

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤

本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明  Rollup  安全性  完备性  有效性  OP Stack 

传统金融许可型资本市场智能合约协议中的漏洞

本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约  漏洞  权限控制  合规性  真实世界资产  RWA  DeFi 
  • Cyfrin
  • 发布于 2025-08-12
  • 阅读 ( 826 )
  • ( 12 )

Fiducia - 为你的 Safe 提供细粒度控制和协同签名人

Fiducia 是 Safe Guard 的一个强大功能,它允许用户对 Safe 的交互对象、行为和时间进行细粒度的链上控制,并提供可选的 cosigner 支持,用于验证敏感操作。Fiducia 具有事务允许列表和阻止列表、Cosigner 支持、Token传输限制和防护移除保护等功能,适用于需要精确控制交易活动的用户。
Safe Guard  Fiducia  Cosigner  多重签名  链上安全  交易控制 

BlockThreat - 2025年第31周周报

本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞  安全审计  加密货币  黑客攻击  信息安全  多链 

隐藏的 IDL 指令及潜在的安全隐患

本文深入探讨了 Solana Anchor 框架中隐藏的 IDL(接口描述语言)指令及其潜在的安全风险。
Solana  Anchor  IDL  安全漏洞  类型混淆  智能合约 

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 618 )
  • ( 14 )

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 902 )
  • ( 18 )