全部 通用编程 区块链 AI 关注
专栏 精选 推荐 最新

Little Boy Plus 攻击复盘:_update(0) 仍 harvest 与 Pancake Pair 储备套利 in 链上安全深潜

2026-06-17,BSC Little Boy Plus 单笔攻击(约 377k USDT)。根因:LBPHashrate 零金额 _update 仍 harvest,第三方可代 Pair 触发 mintReward,Pair LBP balance 与 reserves 脱节;另以 skim 设 lastTransfer 放大 buffer 后 swap 套利。辨析 LBP/hLBP 与 skim ablation,附 BSC fork PoC。
Little Boy Plus BSC DeFi 智能合约安全 PancakeSwap AMM
0xEthan 0xEthan 发布于 4 天前 59

Thetanuts Finance 遗留金库攻击复盘:low-supply 整数舍入与闪电贷套现 in 链上安全深潜

2026-06-15,攻击者针对 Thetanuts Finance 已废弃的 Index Vault(`TN-IDX-USDC-PUT`)发起单笔原子交易:在 `totalSupply` 极低时 `mint/claim` 整数除法向下舍入,闪电贷回调内 `claim` 拆底层 Vault 份额、循环 `mint(0)` 还贷,再 `initWithdraw` 提取 USDC。本文还原 Phalcon 调用链、利润构成与白帽救援对比,PoC 见 GitHub `contract-attacks`
Thetanuts Finance DeFi 智能合约安全 闪电贷
0xEthan 0xEthan 发布于 4 天前 71

Hegota分叉的Gas上限提升与带宽锚定机制

本文分析了以太坊Hegota分叉中如何提升Gas上限。核心发现:21,000 Gas的ETH转账同时约束了执行和带宽,成为锚定区块。以该区块为基准,在25%缓冲区下最优Gas上限约为422M,但推荐将PTC截止时间设为6秒,Gas上限提升至450M。为达到此目标,需要调整calldata定价(从64提高到96)并解决混合区块的带宽问题(通过BAL字节定价或统一calldata价格约94)。此外,还需重新推导CPSB以控制状态增长。文章还指出,传播速度每提升10%,Gas上限可增加约14-18M。
Gas上限 Hegota 打包时间截止时间 BAL calldata定价 状态增长
以太坊中文 以太坊中文 发布于 4 天前 36

Etherveil:一款以太坊隐私浏览器

Etherveil 是一个基于 Firefox/Tor 的浏览器,内置 Kohaku 钱包引擎,旨在通过强制隐私三层(网络、执行、链上)实现隐私默认。它使用 Fingerprint Profile 将浏览器 API 行为限制在有限的等价类中,使同一类用户看起来完全相同,从而防止指纹识别。网络层默认使用 Tor,可选 Mixnet,交易通过 Tornado Cash 和 ERC-4337 匿名提交。文章详细介绍了架构、指纹归一化层、钱包引擎和威胁模型,强调了隐私应由运行时强制执行而非用户配置。
Etherveil 隐私浏览器 指纹归一化 Kohaku钱包 Tor 以太坊
以太坊中文 以太坊中文 发布于 4 天前 43

Payjoin 与 Cashu — 上周比特币动态(6月15日至21日)

本期《Last Week in Bitcoin》报道了比特币开发者生态的最新动态:CDK的PR2049正在将Payjoin集成到Cashu协议中,旨在增强隐私;前Core-lightning开发者Rusty Russell推出了Century Metadata项目,提供长期可靠的小数据存储;Bitcoin++首次在非洲(内罗毕)举办线下会议;LDK贡献者透露其GitHub仓库被无故封禁,CI功能受限;此外,还有对赛博朋克书籍的评论和本栏目的假日通知。
比特币 payjoin Cashu LDK Century Metadata GitHub封禁
INSIDER INSIDER 发布于 4 天前 41

以太坊提案讨论: 协议级验证者收入重定向

该提案针对以太坊生态面临的协调失败和免费搭车问题,提出协议级机制:验证者可配置质押奖励的重定向比例(最高10%)和接收地址;当51%验证者同意时,重定向对所有验证者强制生效。接收方通过'山丘之王'机制聚合偏好,最终形成Condorcet赢家分配。优点是降低治理开销,协议仅需处理增减和更换指令。主要风险是验证者卡特尔化与委托代理问题,但市场竞争可缓解。提案旨在激发对协议级资金不足的讨论。
验证者 质押奖励 死重损失 协调失败 Condorcet赢家 协议级
以太坊中文 以太坊中文 发布于 4 天前 36

以太坊新闻周刊第28期

本周以太坊新闻摘要:Hsiao-Wei Wang 辞去以太坊基金会联合执行董事及董事会成员职务;以太坊活跃开发者约23.2万;Glamsterdam 升级新增独立验证者存款和退出合约(EIP8282);LlamaLend v2 上线 OP Mainnet;MetaMask 添加地址投毒检测;Aztec Connect 和 Aztec 2.0 Rollup 遭攻击;SPHINCS- 后量子签名 EVM 优化方案发布;Base 推出 B20 原生代币;Roman Storm 和 SBF 案件进展。
以太坊基金会 Glamsterdam升级 EIP8282 质押 开发者工具 Layer2
ethereal ethereal 发布于 6 天前 31

无许可基础设施为何胜出

文章以互联网和Linux的发展历史为类比,论证以太坊作为开放、可信中立基础设施的长期优势。作者指出,企业试图构建专有区块链网络,但最终会被开放平台取代,因为开放系统能吸引更多开发者和创新,且没有单一实体控制。以太坊通过长期的去中心化分布、开放贡献和可信中立,已成为全球金融基础设施的核心层,吸引了大量开发者、机构和应用。文章强调,在金融基础设施中,主权和可信中立性是关键,而以太坊通过历史积累和生态优势,难以被复制。最终结论是,最好的策略是建立在以太坊这样的无许可基础设施之上,而不是与之竞争。
以太坊 可信中立性 开源 去中心化 金融基础设施 主权
etherealize_io etherealize_io 发布于 2026-06-20 74

Solana事不过三,将成资产结算层

作者基于5年Solana开发经验,认为Solana即将实现资产代币化和智能合约的承诺。网络技术(如Alpenglow、Firedancer)将大幅提升性能;可编程流动性(PropAMMs、RFQs、订单簿)使交易更高效;资产类型覆盖代币化股票、RWA、桥接资产、TCG和Meme币;界面如JTX提供最佳体验;SOL通过降低通胀和燃烧机制增值。Solana将成为任何资产的结算层。
Solana PropAMM RFQ 代币化 RWA 可编程流动性
aajxbt aajxbt 发布于 2026-06-20 54

RGB协议正在重塑比特币的金融地位

RGB协议是一种基于比特币的分布式智能合约系统,采用客户端验证和状态分片,实现隐私、安全和可扩展性。它通过RGB协议集成闪电网络解决交易速度问题,资产发行和转移完全图灵完备。文章介绍了RGB协议的安全性(离线验证、交易需发票)、隐私性(链下交易路径)和速度(闪电网络集成),也指出了缺点:开发周期长、需要双方在线、隐私可能被滥用。还讨论了0.11和0.12版本的分歧,以及基于0.12版本的项目BitlightLab的进展。RGB协议有望让比特币实现智能合约功能,开启DeFi和跨境支付等应用。
RGB协议 比特币 智能合约 闪电网络 隐私 安全性
eds199678 eds199678 发布于 2026-06-20 65

Proposer Commitment Protocol Part2

本文深入探讨出块者承诺协议的技术实现,包括注册表、押金与惩罚机制,以及如何判断交易预先确认、Top-of-block/Bottom-of-block、State Lock等不同承诺类型是否履行。文章还分析了在PBS环境下如何通过Relay或MEV-Commit链进行责任归属,介绍了Commit Boost工具,并展望了ePBS及协议内方案(IL、PEPC)对出块者承诺的影响。
出块者承诺协议 交易预先确认 MEV PBS ePBS Commit Boost
EthTaipei EthTaipei 发布于 2026-06-19 44

Base 正式推出 Beryl : 原生代币标准B20、缩短提现、Reth V2

Base链的Beryl网络升级引入原生代币标准B20,该标准基于预编译合约实现,提升性能和安全性,并附带发行工具包,支持资产和稳定币两种变体。同时,将主网提款延迟从7天缩短至5天,改善资本效率。升级还包含Reth V2优化,减少节点磁盘占用并提升性能,为未来扩展奠定基础。Beryl已于Sepolia测试网激活,主网将于6月25日上线。
B20 预编译合约 提款延迟 Reth V2 Multiproofs Base链
Base 中文 Base 中文 发布于 2026-06-19 42

不安全WebView集成:漏洞金矿

文章揭示了移动Web3钱包中WebView集成的安全漏洞:WebView会继承宿主应用的权限,但缺乏来源隔离,恶意dApp可无授权访问相机、GPS等权限;WebView未限制本地网络访问,dApp可探测用户家庭设备;React Native WebView的injectJavaScriptObject存在代码注入漏洞(UXSS)。作者在20多个主流钱包中发现了这些漏洞,并提供了利用示例和修补建议。
WebView 权限泄露 React Native 本地网络访问 UXSS 安全漏洞
osecio osecio 发布于 2026-06-19 49

BIP 322:通用的签名消息格式

本文是BIP 322的规范文档,提出了一种基于Bitcoin Script的通用签名消息标准,支持多种脚本类型(如P2PKH、P2WPKH、P2TR等),解决了传统P2PKH签名格式的局限性。该标准通过虚拟交易 `to_spend` 和 `to_sign` 实现可互操作的签名,并定义了传统型、简单型、完整型以及资金证明四种签名变体。规范详细描述了签名的构造、验证规则、PSBT协调过程,以及兼容性考量。旨在统一比特币消息签名格式,提高安全性和灵活性。
比特币 BIP 322 签名消息 Bitcoin Script PSBT 消息签名标准
BTCStudy BTCStudy 发布于 2026-06-19 52

ethrex 完成首次外部安全审计

以太坊执行客户端 ethrex 完成了首次外部安全审计(由 Least Authority 进行),审计覆盖了 EVM 实现、智能合约、排序器、证明器等核心组件,发现 20 个问题与 8 项建议。所有确认的漏洞均已修复并通过验证。ethrex 代码约 10 万行,已在以太坊主网运行,被多个验证者采用,并支持 ZK-rollup 模式。文章详细介绍了审计过程、问题分类及修复方法。
ethrex 以太坊执行客户端 安全审计 Rust ZK-Rollup Least Authority
lambdaclass lambdaclass 发布于 2026-06-19 55

银行在链上建设前必须做对的架构决策

银行在构建链上金融基础设施时,架构决策(如升级治理、密钥管理、访问控制、暂停机制、依赖集成和链选择)至关重要,因为这些决策在代码编写前就已确定,且上线后难以更改。文章强调了架构审查的价值,指出设计阶段的决策决定了安全态势,而预上线安全审查只能记录现有模型。建议银行在设计阶段进行架构审查,以确保合规与风险管理。
架构决策 升级治理 密钥管理 访问控制 暂停机制 链选择
OpenZeppelin OpenZeppelin 发布于 2026-06-19 45

LLM安全漏洞入门:11种攻击向量及防御原则

本文面向构建LLM应用的工程师,揭示了LLM安全漏洞的两个核心事实:模型无法区分系统提示和用户输入(视为同一文本流),且一旦赋予工具能力,攻击者可通过外部文本注入操控模型执行危险操作。文章详细介绍了11种攻击向量,包括直接注入、越狱、系统提示泄露、间接注入、RAG投毒、多模态攻击、工具滥用、数据窃取、记忆投毒、多智能体攻击和MCP投毒,并通过EchoLeak案例展示了实际攻击链。作者强调安全的根本在于最小权限原则和人工审核,而非依赖模型自身的过滤能力。
提示注入 LLM安全 间接注入 工具滥用 最小权限 安全威胁
web_oko web_oko 发布于 2026-06-19 58

RWA的真正含义及其常见误解

本文介绍了现实世界资产(RWA)的基本概念、常见误解以及为何DeFi关注RWA。指出代币化是将链下资产的权利在链上表示,但代币不等于资产本身,需要理解底层结构。常见误解包括将代币视为资产本身、假设代币化自动创造流动性、认为所有RWA都是DeFi原生。RWA之所以重要,是因为它们将传统资产带入链上基础设施,扩展了可用的资产类型。代币化可以改善访问、透明度和结算,但不能消除法律、信用或流动性风险。
现实世界资产 代币化 DeFi 传统金融 流动性 链上基础设施
1inch_ 1inch_ 发布于 2026-06-19 58

开源MEV模拟器介绍

本文介绍了一个开源的MEV模拟器,用于量化公开mempool与加密mempool对交易者的影响。模拟设定:每笔交易约3000美元,每周3次,持续一年。结果显示,公开mempool交易者因三明治攻击每年损失约12,406美元(占交易量的2.65%),而加密mempool交易者无此损失。文章讨论了模拟的局限(如100%夹击率、无gas费),并指出实际损失可能在1-3%。提供了本地运行模拟器的步骤,并鼓励社区扩展。
MEV 三明治攻击 mempool 加密mempool Uniswap 模拟器
shutter shutter 发布于 2026-06-19 58

以太坊基金会的减法哲学与继任困局

本文作者曾任以太坊基金会核心开发协调员,从内部视角分析了以太坊基金会的减法哲学、合法性分配挑战、资金危机和机构继任问题。文章指出,EF的减法哲学虽意在去中心化,但合法性仍高度集中于EF;随着国库消耗和资助计划到期,以太坊面临协议开发资金短缺风险;EF并非永久管家,社区需探索新机制以确保协议可持续发展。
以太坊基金会 减法哲学 资金危机 机构继任 合法性 政治经济
trent_vanepps trent_vanepps 发布于 2026-06-18 40

EVM交易终局:三层堆叠账户抽象方案

文章回顾了以太坊账户抽象十年的尝试(EIP-86、859、2938、ERC-4337、EIP-7702等),指出核心问题在于交易只能由外部账户发起,合约钱包依赖外部账户。提出了最终解决方案:三层堆叠——EIP-8141帧交易作为原生运行时,实现原生身份、气体隔离、原子性;ERC-8211智能批处理作为编程模型,实现多步意图的单签名原子执行;EIP-7906断言层通过TXTRACE操作码验证交易完整状态变更。三者结合使用户无需中间件即可实现复杂操作的原子化、安全性和完全验证,标志着账户抽象的终局。
账户抽象 帧交易 智能批处理 断言 EIP-8141 ERC-8211
Biconomy Biconomy 发布于 2026-06-18 45

Morpho与Zama合作:全同态加密加持DeFi借贷隐私

Morpho与Zama合作,将全同态加密(FHE)引入DeFi借贷,解决机构及大户的隐私问题。Morpho的隔离市场与金库架构允许用户灵活配置资金,而Zama通过将USDC转换为加密版cUSDC,并利用批处理机制聚合加密存款,再存入底层Morpho金库,从而隐藏个体用户的存款金额。文章指出,这种方案并非完全隐私,隐私依赖于批量大小,匿名集较小或对手策略互动仍可能暴露信息。
Morpho Zama 全同态加密 DeFi隐私 借贷协议 机构隐私
simonthekid_ simonthekid_ 发布于 2026-06-18 40