文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
BlockThreat 安全周报 - 2025年第38周
本周发生了三起盗窃事件,损失超过300万美元。一名癌症患者因下载恶意Steam游戏损失3.2万美元,安全研究人员追踪到恶意软件操作者并促成逮捕。文章还报道了多个加密货币诈骗、网络攻击和漏洞利用事件,以及相关的政策和工具更新,涵盖了安全事件、恶意软件、钓鱼攻击以及相关的研究和工具。
加密货币
网络安全
恶意软件
钓鱼攻击
漏洞
区块链安全
BlockThreat
发布于 2025-09-25
阅读 ( 491 )
( 26 )
全栈开放性和可验证性的重要性
本文探讨了在当今时代,技术堆栈的完全开放性和可验证性的重要性,特别是在健康、个人和商业数字技术以及数字公民技术领域。文章强调,开放源代码和可验证的技术能够促进创新、增强安全性,并赋予个人和社区更大的自主权,从而构建一个更加安全、自由和公平的未来。
开放源代码
可验证性
硬件安全
软件安全
数据隐私
公民科技
Vitalik Buterin
发布于 2025-09-25
阅读 ( 317 )
( 28 )
BlockThreat - 2025年第37周
本周发生多起安全事件,包括SwissBorg/Kiln的4150万美元损失、NPM供应链攻击、Yala LayerZero OFT桥接劫持、Shibarium桥接攻击等。文章强调了第三方托管风险、供应链安全、桥接安全等问题,并介绍了ChainPatrol在品牌保护和打击网络钓鱼方面的贡献。
npm
供应链攻击
桥接攻击
网络钓鱼
漏洞
安全事件
BlockThreat
发布于 2025-09-23
阅读 ( 678 )
( 35 )
如何应对 npm 依赖供应链攻击的风险
文章分析了 npm 依赖供应链攻击的风险,指出攻击者可以通过篡改深层依赖项来影响用户,尤其是在 Web3 领域,前端直接处理交易签名,风险更高。文章建议通过减少依赖、自建核心模块、使用 IPFS CID 验证构建产物等方法来降低风险。
npm
依赖供应链攻击
Web3
IPFS
安全
漏洞
blockmagnates
发布于 2025-09-20
阅读 ( 744 )
( 17 )
用于跨链消息传递系统的 AI 驱动的联盟证明证明 - 第 2 部分
本文介绍了CORE Pipeline,这是一个用于确保跨链消息传递系统安全的系统。该pipeline通过生成场景、进行稳健性可行性分析、进行参数优化以及进行统计认证四个阶段,来保证在各种情况下,攻击者无法通过贿赂节点来伪造消息,并提供一个可验证的证书来证明系统的安全性。
跨链消息传递
安全
联盟优化
稳健型启发
参数优化
统计认证
thogiti
发布于 2025-09-20
阅读 ( 1690 )
( 137 )
发现智能合约漏洞的方法(审计:第二部分)
本文是智能合约审计系列文章的第二部分,主要讨论了如何发现智能合约中的漏洞。文章首先定义了智能合约中的bug类型,然后详细介绍了在理解代码的过程中以及如何通过测试假设来发现潜在的漏洞,并强调了采用攻击者思维模式的重要性,通过不断提问和探索各种可能性来进一步挖掘潜在的漏洞。文章还提到审计是一个不断学习和改进的过程,即使失败也能提供宝贵的经验。
智能合约
审计
漏洞
重入攻击
拒绝服务
安全
philbugcatcher
发布于 2025-09-19
阅读 ( 1734 )
( 92 )
跨链消息传递系统的抗联盟证明 第一部分
本文深入探讨了LayerZero、CCIP和Across等跨链桥的安全经济学,提出了一个包含联盟、相关性和机制的框架,用于评估和提高桥的安全性。核心观点是桥的安全性取决于打破它所需的最廉价的相关联盟,因此需要购买独立性、支付检测费用和投资未来,使作弊在经济上不可行。
跨链桥
LayerZero
CCIP
经济安全
联盟
相关性
机制设计
thogiti
发布于 2025-09-16
阅读 ( 1727 )
( 140 )
Sui Move如何重新思考闪电贷安全性
本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
闪电贷
Sui
Move语言
DeepBookV3
热土豆模型
可编程交易块
Trail of Bits
发布于 2025-09-15
阅读 ( 710 )
( 26 )
【引介】Canon Guard - 更安全的使用 Safe 多签
本文介绍了Canon Guard,一种用于多重签名(Multisig)交易的更安全执行模型。它通过引入Action合约来封装交易逻辑,并结合时间锁和自定义Safe Guard合约来增强安全性,旨在减少重复审批、防止恶意攻击,并实现完全链上的透明度和可模拟性。
多重签名
multisig
安全
智能合约
时间锁
链上治理
defi-wonderland
发布于 2025-09-15
阅读 ( 1694 )
( 53 )
ZKPassport:我们现在在哪里?
本文探讨了在生物护照上使用零知识证明来恢复 Safe 账户的方法,无需暴露个人数据。文章概述了生态系统中的主要参与者,并讨论了其优势和局限性。通过ZKPassport应用程序演示了NFC扫描、链上验证和Merkle树注册,以及用于通过范围标识符进行Safe钱包恢复的SDK。
零知识证明
生物护照
Safe 账户恢复
NFC扫描
Merkle树
zkPassport
身份验证
Safe Wallet
发布于 2025-09-15
阅读 ( 710 )
( 28 )
如何应对供应链攻击
本文分析了最近NPM上发生的供应链攻击事件,恶意软件包通过替换用户交易中的区块链地址来窃取加密货币。文章解释了攻击原理,并提供了开发者可以采取的防御措施,包括版本锁定、使用`npm ci`以及实施Lavamoat等工具,以降低受到供应链攻击的风险。
供应链攻击
npm
恶意软件
LavaMoat
版本锁定
依赖管理
安全漏洞
osecio
发布于 2025-09-14
阅读 ( 577 )
( 20 )
代码审计循序渐进:第一部分
本文是作者分享的进行代码审计的步骤,主要分为理解代码和发现漏洞两个阶段。第一部分主要讲解如何高效地理解代码,包括建立基础知识、绘制代码流程图、阅读代码、并做笔记记录审计过程中的疑问、猜想和关键点。
代码审计
智能合约
安全漏洞
代码分析
协议安全
漏洞挖掘
philbugcatcher
发布于 2025-09-13
阅读 ( 645 )
( 44 )
区块链取证:高级区块链取证技术…
本文深入探讨了区块链取证中的高级技术,包括基于时间的交易关联、隐私协议的解混与去匿名化、跨链桥跳跃分析、大规模数据分析与查询、图分析与聚类、以及洗钱模式识别。此外,还提供了一系列实用资源,例如工具平台、课程认证、社区协作和持续学习材料, 旨在帮助调查人员提升技能,更有效地打击加密货币犯罪。
区块链取证
隐私协议
跨链桥
数据分析
图分析
洗钱模式
somaxbt.eth
发布于 2025-09-13
阅读 ( 290 )
( 24 )
Concordance:利用 LLM 安全地简化复杂智能合约
Certora 发布了一款名为 Concordance 的开源工具,它利用 LLM 自动简化复杂的智能合约代码,同时使用 Concord 等价性检查器来保证代码行为不变。Concordance 通过迭代地简化代码,并使用 Concord 验证 LLM 提出的修改方案,从而帮助开发者更容易地理解和审计复杂的智能合约。
智能合约
LLM
形式化验证
代码审计
Concordance
等价性检查
Certora
发布于 2025-09-13
阅读 ( 560 )
( 26 )
哪些受攻击的跨链桥:跨链漏洞的智能合约安全指南
本文深入探讨了跨链桥的工作原理以及它们面临的安全挑战。文章解释了“锁定和铸造”机制,分析了过去发生的重大桥攻击事件,并详细阐述了智能合约中常见的漏洞,例如弱链下验证、私钥管理不当、逻辑错误、访问控制缺陷以及不正确的输入验证。此外,文章还强调了构建安全桥梁所需的重要安全措施,包括独立审计、去中心化验证、实时监控和强大的密钥管理。
跨链桥
智能合约
漏洞
攻击
安全
区块链
ancilartech
发布于 2025-09-12
阅读 ( 525 )
( 26 )
Rust智能合约安全竞赛 - 赛后感
Certora举办了首次针对Rust的形式化验证竞赛,并与Code4rena和Cantina合作,为Soroban智能合约举办了两次社区竞赛。文章介绍了如何使用Certora的工具(如Sunbeam)和Rust库(如CVLR)进行形式化验证,并通过Blend v2和Aquarius两个竞赛的例子展示了形式化验证在发现智能合约漏洞中的应用。
形式化验证
Rust
智能合约
Soroban
Certora Prover
CVLR
Certora
发布于 2025-09-12
阅读 ( 495 )
( 18 )
一次侥幸:NPM 漏洞事件险些给加密货币用户带来浩劫
NPM(Node Package Manager)上知名开发者账号qix遭受网络钓鱼攻击,导致多个流行的 JavaScript 库被植入恶意代码,攻击者试图通过替换加密货币交易中的接收者地址来窃取资金。虽然攻击影响有限,只造成少量资金损失,但它暴露了软件供应链的潜在风险,并提醒开发者和用户采取更严格的安全措施,例如升级到修复版本、锁定依赖项版本、避免盲签交易等。
npm
供应链攻击
JavaScript
网络钓鱼
加密货币
地址替换
Galaxy
发布于 2025-09-12
阅读 ( 554 )
( 17 )
威胁情报:大规模NPM软件包投毒事件分析
2025年9月,NPM社区爆发大规模供应链攻击,目标为加密货币行业。攻击源于开发者qix收到的钓鱼邮件,攻击者冒充NPM官方,诱导其更新双因素认证信息,从而控制账户并发布包含恶意代码的NPM包。恶意代码主要通过地址替换和交易劫持窃取用户加密货币。
供应链攻击
npm
钓鱼邮件
双因素认证
地址替换
交易劫持
slowmist
发布于 2025-09-11
阅读 ( 358 )
( 15 )
MGF 手动引导模糊测试:一份新手指南
本文介绍了手动引导模糊测试(MGF)在智能合约安全中的应用,MGF通过定义特定的测试流程和不变量,有针对性地检测漏洞,文章还对比了Wake MGF 与 Foundry 的模糊测试和不变量测试,并提供了使用Wake框架进行MGF的具体步骤和代码示例,展示了如何初始化合约、定义流程、处理 revert,定义不变量以及运行测试。
模糊测试
智能合约
漏洞检测
Wake框架
手动引导模糊测试
Solidity
Ackee
发布于 2025-09-10
阅读 ( 543 )
( 19 )
BlockThreat - 2025年第36周
本周发生了多起安全事件,总计损失超过2600万美元,其中Bunni和Venus用户遭受的损失最为严重。Venus Protocol通过快速响应和治理措施,成功追回被盗资金。此外,Justin Sun因涉嫌市场操纵被 World Liberty Financial 列入黑名单。文章还包括了其他安全事件、犯罪活动、网络钓鱼攻击以及恶意软件的报告。
Bunni
venus
OlaXBT
Nemo
Justin Sun
WLFI
漏洞
黑客
钓鱼攻击
恶意软件
BlockThreat
发布于 2025-09-10
阅读 ( 527 )
( 18 )
‹
1
2
3
4
5
6
7
8
...
62
63
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
Borsh
研报
Fiat-Shamir
AggLayer
telegram
文档
扩展
JWT
复利
储备证明
CryptoKitties
witness
FPGA
瞬态存储
交易包转发
漏洞修复
期货
Cyfrin
描述符
MetaDAO
QAP
密钥推导
点对点网络
蚂蚁区块链
MEV燃烧
30天文章收益榜
»
Henry
122 篇文章,892 学分
Tiny熊
196 篇文章,819 学分
寻月隐君
315 篇文章,326 学分
thogiti
75 篇文章,318 学分
Galaxy
86 篇文章,298 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: