全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

OWASP ASI02 详解:AI代理工具误用攻击

OWASP ASI02(工具误用与利用)是2026年OWASP代理应用Top 10的第2项,涵盖AI代理以非预期、不安全或攻击者导向的方式使用其工具的攻击。
OWASP ASI02  工具误用  代理安全  MCP安全  最小权限  工具投毒 

AI 与链上安全 | 加密资产安全的智能哨兵

AI能实时监测异常转账、识别黑产地址、预判钓鱼链接,比传统风控更快适应新骗局。普通用户开启平台AI预警、核验地址风险、拒绝高息诱惑,再搭配AI智能防线,即可大幅降低资产被盗风险。技术再强,安全意识才是根本。
加密资产  链上安全  AI  区块链安全 

OWASP ASI04 详解:AI代理供应链攻击

OWASP ASI04 是 AI 代理供应链漏洞,涵盖第三方工具、数据源、连接器被攻陷的情况。文章列举了 Postmark npm 木马、mcp-remote OAuth 注入、Anthropic SDK 设计缺陷等真实案例(至少 8 个 NVD CVE)。攻击模式包括连接器冒充、木马更新、配置通道注入、工具目录投毒。MCP 协议因包分发、特权工具、主机身份运行等因素加剧风险。防御措施:固定版本、验证来源、清理配置通道和工具描述符、日志审计。最后提供了审计方法和 FAQ。
OWASP ASI04  MCP  供应链攻击  代理应用安全  工具描述符  连接器 
  • zealynx
  • 发布于 2026-05-13
  • 阅读 ( 102 )

OpenZeppelin 推出 AI 驱动的持续性安全计划

OpenZeppelin 推出持续性安全计划,针对传统点对点审计在代码持续迭代、系统快速演进下的盲区,提供覆盖全生命周期的持续安全服务。
智能合约安全  持续安全审计  AI审计  OpenZeppelin  点对点审计  安全运营 

利用无界单跳声明破坏Jolt验证器

本文揭示了Jolt透明/非ZK验证器中的一个soundness漏洞:在uni-skip优化中,验证器未检查证明提供的输出声明是否与提交的单变量多项式在挑战点r0处的求值一致。
Jolt  uni-skip  soundness漏洞  零知识证明  sumcheck  Spartan 

如何自定义代币批准并设置花费上限

MetaMask 允许用户自定义 DApp 可访问的代币数量,即设置花费上限,以增强安全性和控制权。文章介绍了代币批准的作用、如何在扩展版和移动版中编辑花费上限,并强调了设置合理上限的重要性,以及如何避免因无限批准导致资金被盗的风险。
代币批准  花费上限  MetaMask  安全  ERC-20 

MCP漏洞2025-2026:16+ CVE与漏洞指数

本文是MCP安全漏洞的权威记录,整理了2025年4月至2026年4月间公开的16起MCP相关安全事件,包括多个严重漏洞(如CVE-2025-49596、CVE-2025-6514等),以及官方SDK的设计缺陷。文章揭示了远程代码执行(RCE)是主要攻击类型,“工具投毒”被OWASP列为标准化威胁。82%的MCP服务器存在路径遍历风险,53%使用静态凭证,1467个服务器暴露在公网。文章还提出了对AI团队的安全建议,包括审计SDK暴露、工具描述、供应链和传输方式。
MCP  安全漏洞  供应链攻击  工具投毒  远程代码执行  OWASP 
  • zealynx
  • 发布于 2026-05-09
  • 阅读 ( 160 )

Claude 在6小时内审查了5万行DeFi代码

本文通过实验展示了AI(Claude)在审计Solidity智能合约时的表现:能有效识别重入、访问控制、算术溢出等常见漏洞,但完全无法检测经济攻击,如预言机操纵。
智能合约审计  LLM  经济攻击  不变性测试  预言机操纵  DeFi 

Infisical蜜令:诱饵凭证捕获泄露风险

Infisical推出蜜令(Honey Tokens)功能,通过在项目中部署具有零权限的AWS IAM访问密钥对作为诱饵凭证。当攻击者试图使用该密钥时,AWS CloudTrail会记录日志并触发实时警报,帮助团队在凭证泄露后迅速响应。文章详细说明了工作原理、配置步骤(包括部署CloudFormation堆栈)、以及相比其他方案更难被检测的优势(通过用户自有AWS账户生成,避免可识别的账户ID)。该功能目前面向Pro和企业版用户开放。
蜜令  AWS IAM  凭证泄露  安全检测  CloudTrail  Infisical 

什么是代币授权?

本文详细解释了MetaMask中的token approval概念,即授权去中心化应用(dapp)访问和移动你的代币。
代币授权  MetaMask  安全  ERC-20  无限授权  setApprovalForAll 

Web3中的供应链攻击——从NPM到协议漏洞利用

本文分析了Web3项目JavaScript供应链安全的五大攻击向量:恶意npm包发布(2025年9月18个包影响20亿周下载量)、维护者账户被攻破(@solana/web3.js和dYdX事件)、依赖混淆攻击、包名钓鱼(如solana-py)以及CI/CD注入(构建工具篡改最终代码)。文章强调,即使智能合约审计完美,前端构建管线被攻破也会导致资金被盗。提供了详细检查清单,包括锁定版本、使用私有注册表、实施可重复构建等防御措施。
供应链攻击  npm  JavaScript  DeFi安全  前端安全  构建管线 
  • zealynx
  • 发布于 2026-05-07
  • 阅读 ( 176 )

掌握威胁建模:Soroban智能合约的安全蓝图

本文介绍了威胁建模在智能合约安全中的重要性,重点阐述了Certora开发的4A框架(资产、参与者、假设、攻击向量)和STRIDE框架(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升),并说明如何结合使用这两种方法提升DeFi项目的安全性。文章强调威胁建模应尽早开始、持续更新,并与审计流程结合,以最小开销获得最大安全可见性。
威胁建模  智能合约安全  STRIDE框架  4A框架  DeFi安全  审计 
  • Certora
  • 发布于 2026-05-06
  • 阅读 ( 104 )

【安全月报】| 4 月加密货币领域因安全事件损失约 6.2 亿美元

4月加密安全损失超6.2亿美元,KelpDAO与Drift Protocol等攻击暴露跨链桥单点验证与社会工程风险。国家级黑客主导,手法向基础设施与人员渗透升级。建议用户减少跨链、隔离资产、谨慎授权。
黑客攻击  钓鱼攻击  区块链安全 

如何构建你自己的AI审计代理(交互式指南,多种路径)

本文探讨了2026年AI智能合约审计工具的现状,指出大多数商用工具误报率高、存在盲点。作者主张自行构建AI审计代理,以真正理解其能力边界并打造实用工具。文章详细介绍了四种有效架构:框架驱动检测、多阶段代理管道、污点分析混合和图协议推理,并给出了构建指南中的关键步骤:选择检测策略、验证方法、误报过滤器、工具集成和编排。还介绍了AI审计竞技场,基于10个真实Code4rena竞赛的118个发现进行基准测试。文章强调,通过自行构建和基准测试,可以识别工具的优劣,最终获得生产级工具。
AI审计  智能合约安全  审计代理  基准测试  误报过滤  Zealynx 
  • zealynx
  • 发布于 2026-05-06
  • 阅读 ( 141 )

这封邮件真的是MetaMask发送的吗?

MetaMask官方声明不会主动发送未经请求的邮件,并列举了官方邮件地址列表,指导用户如何识别合法邮件和诈骗邮件,包括检查发件人地址、警惕紧急要求和可疑链接等,提醒用户保护账户安全。
MetaMask  诈骗邮件  钓鱼  安全指南  识别邮件 

OWASP智能合约Top 10 2026:变更与审计指南

OWASP 发布了智能合约安全 Top 10 2026 版本,基于 122 起 2025 年事故(约 9.05 亿美元损失)重新排序。业务逻辑漏洞升至第二,新增代理与升级漏洞(第十),重入攻击降至第八。文章详细分析了每个类别的定义、真实案例及审计方法,强调组合攻击(如闪电贷+预言机操纵+业务逻辑缺陷)和不变性测试的重要性。
OWASP  智能合约安全  业务逻辑漏洞  代理升级漏洞  不变性测试  组合攻击 
  • zealynx
  • 发布于 2026-05-05
  • 阅读 ( 142 )

在MetaMask中验证自定义网络信息

MetaMask不会验证用户添加的自定义网络,因此用户需要自行验证网络信息的准确性。本文介绍了添加网络时显示的信息字段,并提供了验证步骤:使用Chainlist检查链ID和网络名称,通过搜索引擎验证网络的官方网站、社交媒体、维护者声誉等。建议用户在不确定时拒绝添加并进一步调查。
自定义网络  MetaMask  链ID  chainlist  网络验证  安全指南 

剪贴板劫持

本文介绍加密货币交易中的剪贴板劫持攻击:恶意软件会替换用户复制的地址,导致资金转入黑客钱包。文章提供了识别方法(如用文本编辑器对比地址)、防护措施(安装反恶意软件、更新系统)以及养成转账前双重检查地址的习惯。
剪贴板劫持  加密货币安全  恶意软件  地址替换  防病毒  双重检查 

MetaMask的官方支持渠道

MetaMask官方声明没有电话支持渠道,所有电话联系均为诈骗。官方支持渠道包括来自support@metamask.io的邮件、社区平台(社区、Reddit、Discord、X)以及官方网站的聊天功能。MetaMask永远不会通过电话、WhatsApp、Facebook、Telegram、短信或Instagram联系用户,也不会要求提供私钥或助记词。用户应警惕冒充官方的诈骗行为。
MetaMask  安全  支持渠道  诈骗  助记词  电话诈骗 

Dusk PLONK中的未验证评估

文章发现Dusk Network的PLONK实现中存在严重漏洞,验证者未对四个选择器多项式评估值进行KZG打开验证,导致攻击者可伪造任意证明。该漏洞危及Dusk网络约6000万美元的市值,允许铸造任意DUSK代币和伪造屏蔽交易。类似漏洞也出现在Espresso Systems的Jellyfish实现中。Dusk和Jellyfish均已修复。文章强调标准化PLONK验证规范以预防此类bug。
PLONK  零知识证明  验证漏洞  多项式承诺  KZG  Dusk网络 
  • osecio
  • 发布于 2026-04-30
  • 阅读 ( 129 )