2025年5月22日,SUI公链头部去中心化交易所(DEX)Cetus Protocol遭遇了其生态史上最严重的智能合约攻击事件,造成高达2.6亿美元的巨额损失,不仅重创SUI生态,更引发全行业对DeFi安全性的深度反思。
本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞,该漏洞通过模糊测试发现,但在安全竞赛中被遗漏。该漏洞与舍入误差有关,导致每个 Vault 份额的价格意外下降,从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。
本文深入探讨了Fairblock这一动态保密计算平台,旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案,结合多方计算(MPC)、同态加密(HE)等加密技术,为DeFi、AI和博弈等应用实现链上保密,构建一个值得信任且无腐败的市场环境,从而推动机构采用和更广泛的Web3应用。
我们监控到 SUI 上针对 Cetus 的攻击事件,攻击共造成 223M USD 的损失
5月21日,由BitsLab发起的'Web3护航计划'中的安全团队发现某知名Meme交易平台AndroidApp中存在任意账户接管漏洞,并协助其完成修复。通过对APP的审计发现其使⽤了第三⽅浏览器组件,该组件的onCreate⽅法中存在IntentRedirec
本文分析了Damn Vulnerable DeFi V4的Backdoor挑战,该挑战利用了WalletRegistry和Safe钱包初始化过程中的漏洞。
该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告,审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。
该文档是OpenZeppelin对Moonsong-Labs/zksync-social-login-circuit代码仓库进行的安全审计报告,主要内容是利用零知识证明验证Google账户所有权的Circom电路,用于智能账户恢复,审计发现了一些完整性和非确定性问题,并提出了改进代码质量的建议。
本次审计主要评估了 Matter Labs 的 zksync-sso-clave-contracts 仓库中关于使用 OpenID Connect (OIDC) 进行账户恢复的合约。
安全牛第十二版《中国网络安全行业全景图》,零时科技强势入围“区块链安全”领域。
为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞,该漏洞存在于NFT市场的购买逻辑中,由于在支付卖家之前就将NFT转移给买家,导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金,购买所有NFT,然后将NFT转移到recoveryManager合约以获得赏金,最后偿还闪电贷。
本文是对Across协议的智能合约进行安全审计的报告,重点关注为了集成Circle CCTP V2版本协议对合约所做的修改,以支持在以太坊和Linea区块链之间桥接USDC代币。审计发现了一些低风险问题,包括CCTP版本检查的可靠性问题和文档不足,并提出了相应的改进建议。总体而言,代码变更实现了使用CCTP协议的第二个版本将USDC桥接到Linea区块链的功能。
本文是对Across协议的Solidity合约进行的安全审计报告,重点关注了为支持Solana网络和ERC-7683订单所做的代码更改。审计发现了包括潜在的资金池耗尽漏洞、地址转换错误、重复代码、缺少单元测试等问题,并提出了修复建议。报告还包括对之前提交的PR的审查以及客户端报告的问题。
本次审核了across-protocol/contracts代码仓库,主要关注L3支持、ZkStack支持、可预测的中继哈希、支持最新版本的ERC-7683以及World Chain支持。发现了多个安全问题,包括缺少访问控制、错误的函数调用、不正确的ETH传输处理,以及潜在的重放攻击等。建议改进代码,增加测试,并确保代码符合最新的ERC-7683标准。
本文是一篇针对 Across 协议的智能合约代码审计报告,该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题,并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。
BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据,解码出两个预言机报告者的私钥,攻击者可以利用这些私钥操纵NFT价格,低价购买后再以高价卖出,从而获利。
本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据,用户可以验证交易的意图,防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程,并提供了一个Python脚本来自动化calldata分析,最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。
扫一扫 - 使用登链小程序
485 篇文章,577 学分
190 篇文章,527 学分
409 篇文章,365 学分
44 篇文章,333 学分
58 篇文章,313 学分