漏洞

本文探讨了Nomad桥的漏洞及其被黑的原因，强调了未审计代码带来的安全风险，并介绍了一项新工具——审计覆盖追踪器，该工具旨在提供DeFi协议代码的审计状态信息，从而帮助开发者和用户避免类似的安全问题。

本文档介绍了OpenZeppelin Code Inspector，它是一个与Github集成的代码分析工具，通过机器学习和安全专家开发的工具自动进行代码分析，识别潜在漏洞并提出改进建议。

DeFi领域中的rounding errors漏洞依然普遍存在，可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因，并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞，强调了Formal Verification在保障DeFi协议安全中的作用。

本文介绍了Solidity中的重入攻击，攻击原理是利用智能合约函数在执行过程中，通过外部调用恶意合约，递归调用原合约函数来耗尽资金。文章详细讲解了单函数重入攻击和跨函数重入攻击，并通过DAO、Lendf.me和Cream Finance等案例说明了重入攻击的危害及防范方法，例如CEI模式、重入锁、提取支付和Gas限制。

Cyfrin发布了2025年7月的区块链安全和教育新闻通讯，内容涵盖了新的GMX交易课程、职业发展方向、Web3钱包安全课程和资格认证、Solodit更新以及CodeHawks Eagles的成功案例。此外，还包括高风险攻击事件的分析、Solana程序执行的深入探讨、以及关于使用EIP-7702从受损钱包中恢复资产的Bash脚本。

Agave的ed25519和secp256r1预编译程序中存在一个bug，该bug在新版v2.2引入的--transaction-structure view选项的验证器中被暴露。

本文介绍了 Solodit 社区维护的智能合约安全审计检查表，强调了智能合约安全的重要性，并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源，并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施，同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。

文章通过详细分析多个审计报告，提供了如何识别和解决智能合约漏洞的实用技巧，强调深度分析和验证的重要性。

本周，超过1700万美元的资金在四起独立事件中被盗，其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞，而Marinade Finance遭受了一起500万美元的市场操纵计划，该计划持续了数月未被发现。此外，还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。

本文探讨了加密货币 staking 中智能合约漏洞的风险，并提供了防范策略。强调了智能合约的不可变性以及由此带来的潜在安全隐患，如重入攻击、gas 限制问题和不当访问控制。文章还介绍了安全审计、智能合约保险和用户最佳实践等风险预防措施，并提供了评估 staking 平台安全性的关键标准和监控工具。

本文揭示了CosmWasm运行时的一个栈溢出漏洞，该漏洞源于write_to_contract函数在分配内存时会回调WASM合约的allocate函数，恶意合约可利用此机制进行递归调用，最终导致栈溢出。文章提供了PoC、修复建议以及事件时间线。

该安全公告 CWA-2023-002 描述了 CosmWasm 中的一个栈溢出漏洞，攻击者可以通过构造恶意合约利用 Wasm 导入和导出之间的递归循环，导致虚拟机崩溃。已发布补丁以修复此问题，建议相关项目升级其 wasmvm 依赖。

本文强调了形式化验证（FV）在Web3和DeFi安全中的重要性，指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行，能预防高危漏洞，并已在多个知名DeFi项目中应用，同时建议将FV尽早集成到开发生命周期中，以提升代码质量和安全性。

本文讨论了Web3安全中SDK审计的重要性，强调了SDK作为连接dApp、钱包和区块链网络的关键层，其安全性常常被忽视。文章详细解释了SDK审计的定义、与智能合约和OpSec审计的区别，以及SDK审计的具体流程和评估领域，并列举了现实世界中SDK漏洞的案例，突出了进行SDK审计的必要性。

本文详细介绍了Solana网络中的一个漏洞，该漏洞可能导致节点崩溃，进而阻碍网络共识。Anza核心工程师及时修补了该漏洞，并与社区合作确保大多数验证者升级到最新版本以防止利用。文中还分析了漏洞的根本原因及修复过程，展示了有效的安全响应策略。