全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

零时科技入选安全牛第十二版《中国网络安全行业全景图》

安全牛第十二版《中国网络安全行业全景图》,零时科技强势入围“区块链安全”领域。
区块链安全  安全牛 

OKX研究院 | 账户抽象10年演进终局之战,透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
eth  Vitalik  账号抽象 
  • 十四君
  • 发布于 2025-05-13
  • 阅读 ( 195 )
  • ( 15 )

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞:RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
  • BitsLab
  • 发布于 2025-05-12
  • 阅读 ( 128 )
  • ( 7 )

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
以太坊  交易模拟  Calldata  UI欺骗  Foundry  Python 
  • cyfrin
  • 发布于 2025-05-10
  • 阅读 ( 160 )
  • ( 9 )

Damn Vulnerable DeFi V4 解决方案 - #7. 受损

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据,解码出两个预言机报告者的私钥,攻击者可以利用这些私钥操纵NFT价格,低价购买后再以高价卖出,从而获利。
DeFi  漏洞利用  私钥泄露  预言机  价格操纵  Damn Vulnerable DeFi 

解码以太坊交易以防止UI欺骗

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据,用户可以验证交易的意图,防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程,并提供了一个Python脚本来自动化calldata分析,最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。
Calldata  UI欺骗  以太坊  ERC-20  交易解码  安全 
  • cyfrin
  • 发布于 2025-05-08
  • 阅读 ( 137 )
  • ( 7 )

Damn Vulnerable DeFi 漏洞解决方案 — #4. 侧门攻击

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”,允许攻击者利用闪电贷,先借出资金并存回,然后在合约账户中获得信用,最后提取所有资金。文章提供了攻击流程以及相应的解决方案,并提出了预防措施,即闪电贷合约应使用transferFrom()函数从用户合约提取资金。
以太坊  智能合约  漏洞  闪电贷  重入攻击  安全 

如何使用 MistTrack 查找恶意地址

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址,以检测恶意地址。
MistTrack  QuickNode  AML  恶意地址  风险评分  地址标签  反洗钱 
  • QuickNode
  • 发布于 2025-05-07
  • 阅读 ( 209 )
  • ( 12 )

Damn Vulnerable DeFi 解决方案——#1. Unstoppable

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战,该挑战通过操纵会计系统实现拒绝服务攻击。
ERC4626  拒绝服务  DoS  闪贷  不变量  漏洞分析 

【安全月报】| 4月份因黑客攻击、诈骗等导致损失约3.57亿美元

4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元,其中绝大多数(3.18亿美元)与网络钓鱼攻击有关。
黑客攻击  网络钓鱼  web3安全  加密货币 

Solodit检查清单详解:矿工攻击

本文解释了矿工攻击,即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型:使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击,文章都提供了示例代码、漏洞解释、缓解措施以及测试用例,旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。
矿工攻击  block.timestamp  随机数生成  交易排序  前置交易  三明治攻击  MEV 
  • cyfrin
  • 发布于 2025-05-02
  • 阅读 ( 147 )
  • ( 6 )

可扩展的`Safe`架构

本文档描述了一种可扩展的Safe架构,旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现,允许自定义方法调用和EIP-712签名验证,同时保持与现有Safe功能的向后兼容性,例如ERC-1271签名和Token回调,从而扩展Safe的功能,并允许更灵活的交互方式。
SafeProxy  ExtensibleFallbackHandler  EIP-712  代理合约  智能合约  签名验证 

使用加密密钥在 Hardhat 和 Foundry 中保护你的私钥

本文介绍了在智能合约开发中使用加密密钥的重要性,并提供了在 Hardhat 和 Foundry 框架中实现加密密钥的详细步骤。文章强调了明文存储密钥的风险,并提供了使用 AES 等加密技术保护密钥的方法,同时推荐了密钥管理和安全开发的最佳实践。
加密密钥  Hardhat  Foundry  智能合约  密钥管理  安全开发 
  • QuickNode
  • 发布于 2025-04-30
  • 阅读 ( 312 )
  • ( 24 )

预编译对齐错误:根本原因分析 - Anza

Agave的ed25519和secp256r1预编译程序中存在一个bug,该bug在新版v2.2引入的--transaction-structure view选项的验证器中被暴露。
Ed25519  secp256r1  预编译程序  交易结构体  Agave  漏洞 
  • Anza
  • 发布于 2025-04-25
  • 阅读 ( 145 )
  • ( 5 )

为什么形式化验证是DeFi和Web3安全的必需品

本文强调了形式化验证(FV)在Web3和DeFi安全中的重要性,指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行,能预防高危漏洞,并已在多个知名DeFi项目中应用,同时建议将FV尽早集成到开发生命周期中,以提升代码质量和安全性。
形式化验证  Web3  DeFi  安全  智能合约  漏洞 
  • Certora
  • 发布于 2025-04-25
  • 阅读 ( 304 )
  • ( 20 )

使用 safe-utils 和 tenderly-utils 自动化你的安全运营

本文介绍了如何使用 safe-utils 和 tenderly-utils 这两个 Foundry 模块来简化协议的治理流程,尤其是在涉及 Safe 多签账户的场景下。
多重签名  智能合约  Foundry  治理  测试网络  模拟 
  • Recon
  • 发布于 2025-04-25
  • 阅读 ( 479 )
  • ( 39 )

Solana账户粉尘攻击与地址投毒

该文章深入探讨了Solana区块链上两种新兴的欺诈形式:基于域名的粉尘攻击和外科手术式地址投毒攻击。文章详细解释了这两种攻击方式的原理、识别方法,以及如何通过建立工具来检测和预防这些攻击。文章强调,通过简单的逻辑和可扩展的方法,可以在钱包层面有效减少这些攻击。
Solana  粉尘攻击  地址投毒  域名  钱包安全  区块链安全 

选择审计竞赛:如何识别“灵丹妙药”

本文分析了审计竞赛平台常见的营销误导策略,包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时,关注透明度、沟通和有效指标,并提出了一系列问题,帮助读者识别并避免这些误导,从而选择真正能提高代码安全性的平台。
审计竞赛  安全研究  漏洞  智能合约  代码安全  安全审计 
  • zellic
  • 发布于 2025-04-23
  • 阅读 ( 594 )
  • ( 20 )

你的dApp是否足够安全,可以在链上运行?

本文探讨了Web3开发中常见的智能合约漏洞,并提供了防范措施。文章详细分析了重入攻击、数据溢出和下溢,以及价格预言机操纵这三种经典漏洞的原理、攻击方式和修复方法。此外,文章还介绍了Chainlink等工具在降低预言机操纵风险方面的应用,强调了安全第一的开发理念。
重入攻击  数据溢出  数据下溢  价格预言机  Chainlink  智能合约安全 

DeFi 中的舍入误差:1 Wei 如何让你损失数百万美元

DeFi领域中的rounding errors漏洞依然普遍存在,可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因,并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞,强调了Formal Verification在保障DeFi协议安全中的作用。
Rounding Errors  Formal Verification  DeFi安全  智能合约  Juice Finance  漏洞 
  • Certora
  • 发布于 2025-04-22
  • 阅读 ( 704 )
  • ( 15 )