全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

不变性测试训练营

本文介绍了通过一个由四个部分组成的自定进度的书面教程,从零开始学习不变性测试,并最终能够使用不变性测试在生产系统中发现错误。教程涵盖了如何使用Recon扩展搭建不变性测试套件、创建简化的系统部署、实现对感兴趣合约的全面覆盖、使用Foundry等工具实现属性测试、调试损坏的属性以及使用Echidna的优化模式。
不变性测试  Foundry  Echidna  Medusa  Halmos  Kontrol  Recon 
  • Recon
  • 发布于 5天前
  • 阅读 ( 114 )
  • ( 2 )

传统金融许可型资本市场智能合约协议中的漏洞

本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约  漏洞  权限控制  合规性  真实世界资产  RWA  DeFi 
  • Cyfrin
  • 发布于 2025-08-12
  • 阅读 ( 223 )
  • ( 9 )

Lido预言机被黑,为何资金安然无恙?揭秘让人安心的去中心化钱包背后的设计哲学

职责分离:预言机是信使,而非金库管家要理解Lido为何能在攻击中幸免于难,首先必须厘清其预言机的真正职责。在许多人的误解中,“预言机”似乎是一个掌握着协议命脉的关键组件。然而,在Lido的架构中,预言机的功能被严格地限制和分离。Lido的预言机,本质上是一个分布式的“信息汇报系统”。它由9个独

Certora验证器8.1.0版本发布,包含新功能和重大变更

Certora Prover v8.1.0 版本发布,引入了多项重大变更,包括最低 Java 和 Python 版本要求提升、默认启用健全性检查、requireInvariant 语义更新、Solana 和 Soroban 验证需使用专用命令、默认报告链接改为私有、CVL 函数支持 revert 处理等。
形式化验证  Certora Prover  breaking changes  Solana  Soroban  CVL 
  • Certora
  • 发布于 2025-08-12
  • 阅读 ( 153 )
  • ( 7 )

BlockThreat - 2025年第31周周报

本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞  安全审计  加密货币  黑客攻击  信息安全  多链 

币界独家链上安全指南,深度解读合法协议如何沦为诈骗工具?

诈骗者的“工具箱”:三种利用协议的常见骗局区块链协议的设计初衷是为了确保交易的安全和自动化,但诈骗者恰恰利用了这些合法机制,结合用户的认知盲区,制造了多种难以察觉的攻击方式。1.恶意智能合约授权这是DeFi领域最常见的骗局之一。其原理在于利用ERC-20代币标准中的“Approve”授权功

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 300 )
  • ( 10 )

安全 - Fiamma Bridge审计

该文章是OpenZeppelin对Fiamma Bridge的BitVMBridge合约进行的安全审计报告。报告总结了审计过程中发现的1个高危漏洞以及多个中低危问题,包括潜在的wrapped BTC损失、未经验证的参数、代码可读性问题等。所有发现的问题均已在后续的PR中得到解决。文章最后强调了加强链上验证、增加测试覆盖率的重要性。
智能合约  安全审计  比特币桥  漏洞  BitVM  以太坊 

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 319 )
  • ( 15 )

【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元

2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击  钓鱼攻击  web3安全 

慢雾月度安全报告:7月损失估计达1.47亿美元

2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全  智能合约漏洞  交易所攻击  钓鱼攻击  供应链攻击  区块链安全 
  • slowmist
  • 发布于 2025-08-02
  • 阅读 ( 152 )
  • ( 7 )

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全 

智能合约安全第六部分:保护以太坊智能合约免受矿工操纵

本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵  Chainlink VRF  智能合约安全  以太坊  随机数生成  Commit-Reveal机制 

【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发

OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin  Contracts MCP  智能合约  AI  Solidity  Cairo  Stylus  Stellar 

零时科技 || RareStaking 攻击事件分析

我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击  web3攻击  区块链安全