安全漏洞

本文分析了Remitano、GAMBL、DAppSocial和Rocketswap近期发生的四起安全漏洞事件，损失总计超过440万美元。这些事件主要由于私钥泄露、推荐系统漏洞和逻辑漏洞导致，强调了操作安全在Web3安全中的重要性。

Quicksilver liquid staking protocol 在 onboard Cosmos Hub 时遭遇恶意攻击，攻击者利用 Cosmos Hub 中 IBC-go 版本的安全漏洞阻止了 Quicksilver 的 onboard。

2025年1月23日，新加坡加密货币交易所Phemex遭遇重大安全漏洞，导致约3700万美元的数字资产被未授权提取。攻击者利用多条区块链网络的智能合约漏洞，实施超过125笔可疑交易，突显了中心化交易所的安全协议缺陷。

2024年10月16日，Radiant Capital遭遇安全漏洞，损失约5000万美元。攻击者通过精密的恶意软件注入，成功篡改了至少三名长期贡献者的硬件钱包。这些开发者使用硬件钱包，且地理位置分散，这降低了被物理攻击的可能性。攻击者在正常的多重签名交易过程中，以合法的交易数据诱骗签名，导致数百万美元被盗。事件引发了广泛的安全讨论，强调了在DeFi环境中，盲签名及常见错误消息可能掩盖更深层次问题的风险。为避免类似事件，建议实施多层签名验证、独立设备校验、增强硬件钱包安全性等监控和审计机制。

本文讲述了一种新颖的供应链攻击方法，作者通过上传恶意Node.js包到npm注册表，利用内部包名称寻找目标公司的安全漏洞，成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。

Silo Finance 的一个新杠杆合约模块在测试阶段遭到攻击，由于过于宽泛的批准设置导致借款操控漏洞。该模块与核心Silo协议隔离，因此核心协议、金库、市场或用户资金未受影响。Certora 此前对该合约进行了安全审查，但未发现此漏洞，事后进行了风险评估和补救措施，并确认现有Silo代码是安全的。

本文为OpenZeppelin开展的EIP-4337审计安全评估，详细分析了智能合约的高严重性问题及其他找出的潜在安全漏洞，提供了相关的修复更新信息和对文档的改进建议，同时提出了对监控合约活动的推荐。全面探讨了包括代码库中的建议更改、bug修复和更新方法。

文章讲述了马耳他几名大学生因负责任地披露了一个安全漏洞而被捕的事件，并探讨了现有网络犯罪法律对白帽子黑客的保护不足的问题。文章强调，白帽子黑客在发现安全漏洞后的披露行为可能被错误地解读为恶意行为，并呼吁立法者重新考虑网络安全方法，保护那些出于善意行动的道德黑客，文中还提到了Safe Harbor框架，为道德黑客提供法律保护。

本文探讨了Solidity智能合约中常见的安全漏洞，包括访问控制失效、未经验证的外部调用、重入攻击、整数溢出/下溢、Gas耗尽情况、Oracle数据陈旧和操纵等问题。强调了智能合约安全的重要性，并建议开发者在部署前进行代码审计，并使用安全工具来尽早发现和修复漏洞。

文章介绍了一个名为“Governance Proposal Simulation Framework”的工具，旨在帮助开发者在区块链上部署治理提案前进行模拟测试，以发现并修复潜在问题，避免安全漏洞和意外行为。

Zellic获得了DARPA颁发的100万美元，用于开发一种自动化漏洞研究系统（AVRS），该系统利用大型语言模型（LLM）创建能够自主发现和修复安全漏洞的AI系统。文章概述了AVRS的设计原则，包括自主性、准确性、可扩展性和可扩展性，并探讨了如何通过合理的任务优先级策略和LMM的结合来模拟人类研究者的工作过程。

KiloEx 是一个多链永续合约协议，部署在 BNB、Base、opBNB 和 Manta 链上。2025年4月14日，KiloEx 遭遇攻击，损失达740万美元。攻击者利用用户合约中缺乏验证的漏洞，通过伪造签名和操纵价格，获利后迅速转移资金。