Cyfrin 2025年7月区块链安全与教育新闻通讯

Cyfrin
发布于 5天前
阅读 30

Cyfrin发布了2025年7月的区块链安全和教育新闻通讯，内容涵盖了新的GMX交易课程、职业发展方向、Web3钱包安全课程和资格认证、Solodit更新以及CodeHawks Eagles的成功案例。此外，还包括高风险攻击事件的分析、Solana程序执行的深入探讨、以及关于使用EIP-7702从受损钱包中恢复资产的Bash脚本。

## Cyfrin 的区块链安全与教育通讯：2025 年 7 月

探索 Cyfrin 2025 年 7 月的综述：新课程、认证、重大 DeFi 漏洞、构建调用图以及保持领先地位的真实区块链安全提示。

[**GMX 永续交易**](https://updraft.cyfrin.io/courses/gmx-perpetuals-trading)课程已在 Updraft 上线！掌握 GMX 协议，并通过深入了解定价、流动性和清算逻辑来构建高级 DeFi 应用。

‍

![Cyfrin Updraft 上 GMX 永续交易课程页面的屏幕截图，详细介绍了功能、主题和注册统计数据。](https://img.learnblockchain.cn/2025/07/09/vZqMi7WJjLbL8_7_EDkf5Zvn3ODKcvKVLyuIWpyVinZURQ.png)

继续阅读 Cyfrin 的月度更新、安全新闻和行业见解。

‍

### 来自 Cyfrin 的世界

[**Updraft 职业发展路线已上线！**](https://updraft.cyfrin.io/career-tracks) 通过区块链基础、Solidity、Vyper、DeFi、钱包和智能合约安全等结构化学习路径，从初学者到专业人士。实践性强、由专家设计，旨在启动你的 web3 职业生涯。

‍

![Cyfrin Updraft 的职业发展路线部分显示了区块链开发和安全方面的结构化学习路径。](https://img.learnblockchain.cn/2025/07/09/_jTs4-rGgeWqk6U8u3D4MiDZtcXF1msJEzPrmSGBCk1qdg.png)

**新课程和认证：**

- [**Web3 钱包安全**](https://updraft.cyfrin.io/career-tracks/web3-wallet-security)**：** 一个包含基础和高级钱包安全培训的 2 课程职业发展路线。

‍
- [**合格的 Web3 签名者认证**](http://updraft.cyfrin.io/certifications/qualified-web3-signer)**：** 通过监考考试证明你在 TX 验证、calldata 审查和多重签名安全方面的技能。

‍
- [**Noir 编程和 ZK 电路**](https://updraft.cyfrin.io/courses/noir-programming-and-zk-circuits)：学习编写 ZK 电路，并使用 Noir、Barretenberg 和 Solidity 构建全栈、保护隐私的应用的后端。

‍

[**认识新的 Solodit**](https://solodit.cyfrin.io/)**：** 智能合约安全研究的首选资源，现在具有简化的 UI、更快的导航、全局搜索和完全更新的检查表页面。

‍ [**CodeHawks Eagles 成功案例**](https://www.cyfrin.io/success-stories/from-devops-engineer-to-codehawks-eagle)：在短短两年多的时间里，0xStalin 从 DevOps 工程师成为顶级智能合约审计员，保障了数十亿美元的 DeFi 资产。**已完成审计**：

- [**Bunni V2**](https://github.com/Cyfrin/cyfrin-audit-reports/blob/main/reports/2025-06-10-cyfrin-bunni-v2.1.pdf)，一种建立在 Uniswap V4 上的新型 DEX。
- [**EulerSwap**](https://github.com/Cyfrin/cyfrin-audit-reports/blob/main/reports/2025-06-06-cyfrin-eulerswap-v2.1.pdf)，一种使用 vault positions 的高级 AMM。
- [**MetaMask 的 DeleGator**](https://github.com/Cyfrin/cyfrin-audit-reports/blob/main/reports/2025-04-01-cyfrin-Metamask-DelegationFramework2-v2.0.pdf)**，**一种基于 EIP-7702 的委托协议。
- [**Dolomite x Berachain**](https://github.com/Cyfrin/cyfrin-audit-reports/blob/main/reports/2025-04-24-cyfrin-dolomite-POLVaults-v2.0.pdf)，一种具有隔离模式安全性的生息借贷协议。
- [**Ethena**](https://github.com/Cyfrin/cyfrin-audit-reports/blob/main/reports/2025-05-16-cyfrin-ethena-timelock-v2.0.pdf)**，**一种加密货币支持的合成美元协议。

提升你的区块链**安全技能和知识**的见解：

- [**EulerSwap 提款**](https://learnblockchain.cn/article/16169)**：** 从 EVC 身份验证到执行后检查，了解完整流程。
- [**Solidity 调用图教程**](https://learnblockchain.cn/article/16170)**：** 绘制内部流程图以进行更智能的审计。

来自 **Solodit 检查表解释** 系列：

- 使用 nonces、链 ID 和域分隔符[**阻止重放攻击**](https://learnblockchain.cn/article/17003)。
- 通过时间锁、限制提款和限定的管理角色[**防止 rug pulls**](https://learnblockchain.cn/article/17760)。

‍

### 备受瞩目的黑客攻击和安全事件

[**Nobitex**](https://cointelegraph.com/news/nobitex-hackers-reveal-source-code-after-100m-hack)**（1 亿美元）：** 支持以色列的黑客暴露了一个预先存在的洗钱设置，包括 peelchains、chip-off 钱包和一个在漏洞利用发生前几个月就已激活的“救援”钱包。

![BTC 交易的可视化地图，从 Nobitex 钱包流入疑似洗钱地址。](https://img.learnblockchain.cn/2025/07/09/N7nzfAtUaH8m7k73GEIoFHCki9cx63S_B4hvBExIDexWEg.png)

Nobitex 用户资金被转移到一个潜在的洗钱钱包。来源：[Global Ledger](https://globalledger.io/shared-files/2397/?Nobitex)

[**AlexLab**](https://rekt.news/alexlab-rekt2)**（1610 万美元）：** 一个代币上市缺陷使攻击者能够使用假代币通过精心设计的交换调用来耗尽金库，绕过了最近的审计。[**Resupply**](https://www.onesafe.io/blog/enhancing-crypto-security-lessons-from-resupply-exploit)**（950 万美元）**：对合成稳定币的价格操纵攻击导致攻击者在风险最小的情况下夸大抵押品价值并借入 reUSD。[**Nervos**](https://www.bitget.com/news/detail/12560604791633)**（370 万美元）**：ForceBridge访问控制缺陷导致攻击者耗尽多链资金，交换为 ETH，并通过 Tornado Cash 进行清洗。[**BNB Chain bots**](https://x.com/Phalcon_xyz/status/1937753560391004641)**（200 万美元）**：MEV 机器人合约中的不良函数限制导致攻击者通过精心设计的内部调用耗尽资产。

‍

### 行业新闻和资源

Cyfrin 的 [Farouk ELALEM 分析了](https://learnblockchain.cn/article/16821)**Solana 程序如何在自定义 BPF VM 中运行 SBF 字节码**，从而在高吞吐量和严格的安全检查之间取得平衡。

![图表显示了从 Rust 和 C++ 等前端语言到包括 SBF 和 WebAssembly 在内的后端 LLVM 编译过程。](https://img.learnblockchain.cn/2025/07/09/V_FDW9eOv_8U_PdWWtg6nD-C27VAtIhEf62ao8j9Hnr7Hw.png)

LLVM 概述；来源：[Ubermensch](https://learnblockchain.cn/article/16821#heading-llvm-overview)

[Pascal Caversaccio](https://x.com/pcaversaccio/status/1929926175935095149) 开源了一个 Bash 脚本，用于**使用 EIP-7702**、paymaster 和自定义 Vyper 委托者**从受损钱包中拯救资产**。无需 ETH。[SlowMist 警告](https://learnblockchain.cn/article/17312)，像 WormGPT 和 GhostGPT 这样的越狱 LLM 正在**助长加密领域的高级网络钓鱼、诈骗脚本编写和恶意智能合约生成**。

Areta 的 [**_2025 年加密安全状况_**](https://research.areta.io/state-of-crypto-security-2025) 报告揭示了为什么全栈安全现在对于整个 web3 开发生命周期至关重要。

Safe{Wallet} [联合创始人 Lukas Schor 分享了](https://x.com/SchorLukas/status/1929977600752963893)在用户桥接到配置错误的智能账户后**如何挽救了 100 ETH**。[wellbyt3.eth 指出](https://x.com/wellbyt3/status/1934717931310690636)，基础设施项目提供超过 100 万美元的赏金，而 DeFi 竞赛则集中在 25 万美元至 99.9 万美元的范围内，暗示了**项目类型的支付差异**。[Radcipher 解释了](https://x.com/radcipher/status/1930205974393934249)**漏洞搜寻是关于模式识别和每日重复，而不是天才**，并分享了他们从初学者到顶级审计竞赛的系统。

‍

### 协议通过 Updraft 认证招募人才

[**立即安排你的认证考试！**](https://www.cyfrin.io/certifications/solidity-certification)

有人将此通讯转发给你了吗？ [在此订阅](https://www.cyfrin.io/newsletter)！

>- 原文链接： [cyfrin.io/blog/cyfrins-b...](https://www.cyfrin.io/blog/cyfrins-blockchain-security-and-education-newsletter-july-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Cyfrin 的区块链安全与教育通讯：2025 年 7 月

探索 Cyfrin 2025 年 7 月的综述：新课程、认证、重大 DeFi 漏洞、构建调用图以及保持领先地位的真实区块链安全提示。

GMX 永续交易课程已在 Updraft 上线！掌握 GMX 协议，并通过深入了解定价、流动性和清算逻辑来构建高级 DeFi 应用。

‍

继续阅读 Cyfrin 的月度更新、安全新闻和行业见解。

‍

来自 Cyfrin 的世界

Updraft 职业发展路线已上线！ 通过区块链基础、Solidity、Vyper、DeFi、钱包和智能合约安全等结构化学习路径，从初学者到专业人士。实践性强、由专家设计，旨在启动你的 web3 职业生涯。

‍

新课程和认证：

Web3 钱包安全：一个包含基础和高级钱包安全培训的 2 课程职业发展路线。

‍

合格的 Web3 签名者认证：通过监考考试证明你在 TX 验证、calldata 审查和多重签名安全方面的技能。

‍

Noir 编程和 ZK 电路：学习编写 ZK 电路，并使用 Noir、Barretenberg 和 Solidity 构建全栈、保护隐私的应用的后端。

‍

认识新的 Solodit：智能合约安全研究的首选资源，现在具有简化的 UI、更快的导航、全局搜索和完全更新的检查表页面。

‍ CodeHawks Eagles 成功案例：在短短两年多的时间里，0xStalin 从 DevOps 工程师成为顶级智能合约审计员，保障了数十亿美元的 DeFi 资产。已完成审计：

Bunni V2，一种建立在 Uniswap V4 上的新型 DEX。
EulerSwap，一种使用 vault positions 的高级 AMM。
MetaMask 的 DeleGator，一种基于 EIP-7702 的委托协议。
Dolomite x Berachain，一种具有隔离模式安全性的生息借贷协议。
Ethena，一种加密货币支持的合成美元协议。

提升你的区块链安全技能和知识的见解：

EulerSwap 提款：从 EVC 身份验证到执行后检查，了解完整流程。
Solidity 调用图教程：绘制内部流程图以进行更智能的审计。

来自 Solodit 检查表解释 系列：

使用 nonces、链 ID 和域分隔符阻止重放攻击。
通过时间锁、限制提款和限定的管理角色防止 rug pulls。

‍

备受瞩目的黑客攻击和安全事件

Nobitex（1 亿美元）： 支持以色列的黑客暴露了一个预先存在的洗钱设置，包括 peelchains、chip-off 钱包和一个在漏洞利用发生前几个月就已激活的“救援”钱包。

Nobitex 用户资金被转移到一个潜在的洗钱钱包。来源：Global Ledger

AlexLab（1610 万美元）： 一个代币上市缺陷使攻击者能够使用假代币通过精心设计的交换调用来耗尽金库，绕过了最近的审计。Resupply（950 万美元）：对合成稳定币的价格操纵攻击导致攻击者在风险最小的情况下夸大抵押品价值并借入 reUSD。Nervos（370 万美元）：ForceBridge访问控制缺陷导致攻击者耗尽多链资金，交换为 ETH，并通过 Tornado Cash 进行清洗。BNB Chain bots（200 万美元）：MEV 机器人合约中的不良函数限制导致攻击者通过精心设计的内部调用耗尽资产。

‍

行业新闻和资源

Cyfrin 的 Farouk ELALEM 分析了Solana 程序如何在自定义 BPF VM 中运行 SBF 字节码，从而在高吞吐量和严格的安全检查之间取得平衡。

LLVM 概述；来源：Ubermensch

Pascal Caversaccio 开源了一个 Bash 脚本，用于使用 EIP-7702、paymaster 和自定义 Vyper 委托者从受损钱包中拯救资产。无需 ETH。SlowMist 警告，像 WormGPT 和 GhostGPT 这样的越狱 LLM 正在助长加密领域的高级网络钓鱼、诈骗脚本编写和恶意智能合约生成。

Areta 的 2025 年加密安全状况 报告揭示了为什么全栈安全现在对于整个 web3 开发生命周期至关重要。

Safe{Wallet} 联合创始人 Lukas Schor 分享了在用户桥接到配置错误的智能账户后如何挽救了 100 ETH。wellbyt3.eth 指出，基础设施项目提供超过 100 万美元的赏金，而 DeFi 竞赛则集中在 25 万美元至 99.9 万美元的范围内，暗示了项目类型的支付差异。Radcipher 解释了漏洞搜寻是关于模式识别和每日重复，而不是天才，并分享了他们从初学者到顶级审计竞赛的系统。

‍