本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
文章探讨了不受限制的大型语言模型(LLMs)的兴起及其在加密货币领域的滥用。攻击者利用这些模型进行网络钓鱼、恶意代码生成和社会工程攻击。WormGPT、DarkBERT、FraudGPT、GhostGPT和Venice.ai等工具被用于各种恶意活动,包括创建虚假项目、生成钓鱼页面和自动化诈骗活动。文章最后强调了加强检测能力、提高防越狱能力以及建立道德和监管保障措施的重要性。
攻击者通过伪造签名检查工具网站,诱导用户输入私钥,从而盗取用户资产。攻击者还冒充安全专家和安全公司,增加欺骗性。用户应保持警惕,通过官方渠道验证信息,切勿泄露私钥。SlowMist 团队将持续揭露此类诈骗行为。
本文深入分析了以太坊即将到来的 Pectra 升级中的 EIP-7702,该提案通过引入新的交易类型,允许 EOA 指定智能合约地址和代码,从而使 EOA 具备可编程性和可组合性,模糊了 EOA 和合约账户之间的界限。
本文分析了一种利用CREATE和CREATE2操作码在不同时间将不同合约部署到同一地址的攻击技术,并提供了相应的防御策略。
CREATE
CREATE2
本文分析了2025年2月zkLend平台遭受攻击事件的细节,攻击者利用闪电贷机制操纵了市场累积值并通过舍入错误进行了资产盗窃,导致近1000万美元的损失。文中提供了详尽的攻击步骤、根本原因以及改进建议,以加强区块链平台的安全性。
KyberSwap Elastic pool 在2023年11月23日遭受攻击,损失约5470万美元。
本文详细分析了Frozen Heart漏洞,这一漏洞源于Fiat-Shamir变换的安全性问题。在阐述Fiat-Shamir变换及其在零知识证明中的应用后,文章探讨了弱Fiat-Shamir变换如何导致攻击者在不知秘密值的情况下伪造证明,从而威胁零知识证明系统的安全性。最后,作者强调在实施过程中必须认真审查Fiat-Shamir变换的正确性。
本文章分析了2023年3月13日对Euler Finance的攻击事件,攻击者利用智能合约漏洞和高杠杆策略从中获利约2亿美元。SlowMist安全团队详细阐述了攻击的根本原因、过程及其对现有金融协议的安全建议,指出智能合约在处理用户资金时缺乏必要的流动性检查。
本文详细分析了以太坊DeFi平台Lendf.Me遭受的重入攻击,损失约2469万美元。文章介绍了攻击过程、合约的漏洞以及攻击者如何利用这些漏洞在单一交易中伪造余额获取资金。文中还提供了防御建议,包括使用重入保护机制和通过第三方审计来提高安全性。