文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
打破 Gas 陷阱:保护智能合约免受拒绝服务攻击
本文是智能合约安全系列文章的第一部分,主要讨论了智能合约中拒绝服务(DoS)攻击的威胁与防范。文章通过实际案例Fomo3D,讲解了DoS攻击如何利用以太坊的gas限制使合约不可用,并重点介绍了利用无限制循环和外部调用失败两种主要攻击手段。文章还提供了使用“拉取而非推送”模式、限制状态增长、熔断器等多种缓解措施,以及Slither、MythX、Foundry等高级工具,以构建更具弹性的智能合约。
拒绝服务攻击
DoS攻击
智能合约安全
Solidity语言
以太坊
Gas限制
ankitacode11
发布于 15小时前
阅读 ( 141 )
【安全月报】| 6月份因黑客攻击、诈骗等导致损失约1.84亿美元
6月,加密货币领域因黑客攻击、诈骗和漏洞利用,损失金额约达1.84亿美元。其中,黑客攻击事件尤为突出,共发生了15起。
安全月报
黑客攻击
网络钓鱼
零时科技
发布于 2天前
阅读 ( 267 )
( 7 )
安全指南:使用 Solodit 保护智能合约
本文介绍了 Solodit 社区维护的智能合约安全审计检查表,强调了智能合约安全的重要性,并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源,并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施,同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。
智能合约
安全审计
Solodit 检查表
重入攻击
拒绝服务
前置交易
以太坊
漏洞
ankitacode11
发布于 2天前
阅读 ( 354 )
( 13 )
利用形式化验证查找编译器 Bug
本文介绍了Certora团队开发的一款用于验证编译器优化的等价性检查工具,该工具通过比较优化前后程序的行为来检测编译器bug。文章还分享了该工具在Vyper编译器中发现的一个优化bug,该bug导致局部变量被错误地映射到相同的堆栈位置,从而改变了程序的行为。该bug已在Vyper 0.4.2版本中修复。
编译器优化
等价性检查
形式化验证
Vyper
Certora Prover
bug检测
Certora
发布于 2天前
阅读 ( 199 )
( 2 )
Silo Finance 杠杆合约攻击事件事后分析
Silo Finance 的一个新杠杆合约模块在测试阶段遭到攻击,由于过于宽泛的批准设置导致借款操控漏洞。该模块与核心Silo协议隔离,因此核心协议、金库、市场或用户资金未受影响。Certora 此前对该合约进行了安全审查,但未发现此漏洞,事后进行了风险评估和补救措施,并确认现有Silo代码是安全的。
Silo Finance
杠杆合约
安全漏洞
Certora
风险评估
形式化验证
智能合约
Certora
发布于 5天前
阅读 ( 144 )
( 5 )
网络钓鱼攻击日益复杂
本文是一位网络安全专家分享了自己亲身经历的一次复杂加密货币钓鱼攻击,攻击者通过伪装成Coinbase员工,利用社工手段和多渠道协同,试图诱导受害者转移资产到虚假的Coinbase Vault中。作者详细拆解了攻击过程中的各种欺骗手段和危险信号,并分享了实用的安全建议,旨在帮助数字资产投资者识别和防范日益复杂网络钓鱼攻击。
网络钓鱼
加密货币
Coinbase
安全
多重签名钱包
社会工程学
Galaxy
发布于 6天前
阅读 ( 153 )
( 14 )
如何超越私钥风险,实现智能合约彻底安全
文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
私钥泄露
多重签名
时间锁
最小权限原则
访问控制
智能合约安全
Trail of Bits
发布于 6天前
阅读 ( 352 )
( 16 )
零时科技 || SiloFinance 攻击事件分析
我们监控到 Ethereum 上针对 SiloFinance 的攻击事件,攻击共造成 54.6k USD 的损失。
零时科技
发布于 6天前
阅读 ( 111 )
( 6 )
自定义脚本 - OpenZeppelin 文档
本文介绍了OpenZeppelin Monitor的自定义脚本功能,该功能允许用户实现自定义的过滤器脚本和通知处理脚本,从而实现更精细的监控匹配和个性化的通知处理。文章详细说明了如何使用 Bash、Python 和 JavaScript 创建脚本,以及脚本的输入输出要求。此外,还提供了性能方面的考虑,例如文件描述符限制、脚本超时和资源使用情况。
OpenZeppelin Monitor
自定义脚本
过滤器脚本
通知脚本
Bash
Python
JavaScript
OpenZeppelin
发布于 2025-06-26
阅读 ( 53 )
( 2 )
内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计
文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。
Solana
Rust
智能合约
安全审计
漏洞
内存安全
Anchor
跨程序调用
Three Sigma
发布于 2025-06-26
阅读 ( 401 )
( 38 )
🎯 有状态模糊测试与无状态模糊测试
本文深入探讨了无状态模糊测试和有状态模糊测试在智能合约安全中的作用。无状态模糊测试将每个测试案例视为独立事件,适用于快速发现输入验证和简单功能中的漏洞。有状态模糊测试则追踪系统状态,模拟真实攻击行为,擅长检测多步骤交互和状态依赖性漏洞,如重入攻击和经济漏洞。文章还介绍了混合模糊测试策略、工具和实践,强调了在DeFi安全中综合运用两种方法的重要性。
模糊测试
智能合约
安全
无状态模糊测试
有状态模糊测试
DeFi
CoinsBench
发布于 2025-06-25
阅读 ( 121 )
( 11 )
Web3 从业者旅行时的安全指南
本文是由 SEAL (Security Alliance) 发布的关于旅行安全框架的工作草案,旨在为开发者、安全专家和其他 Web3 从业者提供旅行时的安全建议。内容涵盖旅行前、旅行中和返回后的安全措施,以及针对高风险人群的额外保护措施,包括设备加密、网络安全、物理安全和应对边境检查的策略,以最大限度地减少数据泄露和潜在威胁。
安全
旅行安全
加密
网络安全
物理安全
Web3
The Red Guild
发布于 2025-06-25
阅读 ( 488 )
( 22 )
如何确保强制交易模拟执行与真实执行的一致性
文章讨论了在区块链交易中模拟执行与实际执行之间状态差异的问题。提出了一种通过在交易中附加状态约束来解决此问题的方法,这些约束在交易执行前进行检查,确保交易在符合预期状态的条件下进行,从而提高交易的安全性和可靠性。文章还探讨了EIP-7702等以太坊改进提案如何为此方法提供更好的用户体验和效率
交易模拟
状态约束
EIP-7702
智能合约
区块链安全
状态发散
bitfinding
发布于 2025-06-25
阅读 ( 526 )
( 28 )
快速入门指南 - OpenZeppelin 文档
本文档是OpenZeppelin Monitor的快速入门指南,介绍了如何设置和使用OpenZeppelin Monitor来监控区块链事件和交易,包括EVM和Stellar网络。通过自动化或手动方式设置Monitor,配置监控USDC transfer和Stellar DEX swap,并设置Slack和Email的通知。
OpenZeppelin Monitor
区块链监控
EVM
Stellar
USDC transfer
DEX swap
Slack
Email
OpenZeppelin
发布于 2025-06-25
阅读 ( 202 )
( 9 )
攻破电话:如何解决Ethernaut的挑战#4
本文深入解析了Ethernaut的Phone挑战,揭示了Solidity中`tx.origin`和`msg.sender`的区别及其安全隐患。通过构建攻击合约并利用Foundry进行测试和部署,展示了如何利用`tx.origin`漏洞篡夺合约所有权。强调在实际DeFi项目中应避免使用`tx.origin`进行身份验证,并推荐使用`msg.sender`或基于角色的访问控制。
tx.origin
msg.sender
Solidity
漏洞
Foundry
智能合约安全
blockmagnates
发布于 2025-06-21
阅读 ( 152 )
( 13 )
安全销毁用户拥有的对象
AIP-45 提议了一种机制,允许 Aptos 用户将拥有的任何对象单方面转移到一个全局销毁地址,从而解决用户账户上出现不希望的内容的问题。这使得用户能够通过将不需要的数据的所有权转移到安全销毁地址,来管理与其账户关联的数据。此提案旨在缓解接收未经请求内容的问题,并已选择为一种安全手段,可以在不破坏其他应用程序的情况下删除与用户账户关联的内容。
Aptos
对象销毁
数字资产
安全
区块链
未请求内容
aptos-foundation
发布于 2025-06-21
阅读 ( 117 )
( 5 )
🔓 Ethernaut挑战#8:Vault的幻象——为什么“Private”在以太坊上实际上并非真的私有……
本文深入分析了以太坊智能合约中“private”变量的安全性误解,指出区块链的透明性使得任何人都可能通过分析读取合约存储中的敏感数据。
智能合约安全
区块链安全
以太坊
private变量
存储漏洞
零知识证明
多重签名
blockmagnates
发布于 2025-06-21
阅读 ( 266 )
( 38 )
BlockThreat - 2025年第24周
该文章是BlockThreat发布的一篇安全周报,内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外,还包括一些研究论文、安全工具以及媒体报道,例如Bitrue被攻击事件,以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。
安全漏洞
网络钓鱼
加密货币犯罪
恶意软件
智能合约安全
供应链安全
blockthreat
发布于 2025-06-20
阅读 ( 115 )
( 5 )
Foundry高级作弊码系列:第三部分 - 断言作弊码
本文是Foundry cheatcodes系列文章的第三部分,主要介绍了 Foundry 中的断言作弊码,包括 vm.expectRevert(用于测试必须抛出的情况)、vm.expectEmit(用于验证事件和topic)和 vm.expectCall(用于断言外部交互)。
Foundry
cheatcodes
智能合约
测试
断言
vm.expectRevert
vm.expectEmit
vm.expectCall
Three Sigma
发布于 2025-06-20
阅读 ( 112 )
Foundry 高级作弊码系列:第二部分 - 作弊码 vm.prank,模拟调用
本文介绍了 Foundry 的一个非常有用的 Cheatcode:vm.prank,它允许开发者在测试中模拟任何地址作为 `msg.sender`,从而方便地测试访问控制和各种边界情况。
Foundry
vm.prank
msg.sender
智能合约
安全测试
cheatcode
Three Sigma
发布于 2025-06-19
阅读 ( 104 )
‹
1
2
3
4
5
6
7
8
...
48
49
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
xERC-20
多链生态
Slack
Quorum
lotus
代币发布
粉丝互动
内存布局
Fork测试
合约克隆
Invariant Testing
Trie
Acala
L1数据可用性
EIP4444
存储解决方案
Polygon 2.0
Euler V2
omni
L2解决方案
消费者应用
应用链
BlockScout
资产交换
状态压缩
30天文章收益榜
»
寻月隐君
219 篇文章,738 学分
CoinsBench
69 篇文章,639 学分
Helius
138 篇文章,514 学分
4pillars
170 篇文章,498 学分
OpenZeppelin
157 篇文章,486 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: