文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
Sui Move如何重新思考闪电贷安全性
本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
闪电贷
Sui
Move语言
DeepBookV3
热土豆模型
可编程交易块
Trail of Bits
发布于 15小时前
阅读 ( 81 )
( 3 )
【引介】Canon Guard - 更安全的使用 Safe 多签
本文介绍了Canon Guard,一种用于多重签名(Multisig)交易的更安全执行模型。它通过引入Action合约来封装交易逻辑,并结合时间锁和自定义Safe Guard合约来增强安全性,旨在减少重复审批、防止恶意攻击,并实现完全链上的透明度和可模拟性。
多重签名
multisig
安全
智能合约
时间锁
链上治理
defi-wonderland
发布于 15小时前
阅读 ( 100 )
( 3 )
ZKPassport:我们现在在哪里?
本文探讨了在生物护照上使用零知识证明来恢复 Safe 账户的方法,无需暴露个人数据。文章概述了生态系统中的主要参与者,并讨论了其优势和局限性。通过ZKPassport应用程序演示了NFC扫描、链上验证和Merkle树注册,以及用于通过范围标识符进行Safe钱包恢复的SDK。
零知识证明
生物护照
Safe 账户恢复
NFC扫描
Merkle树
zkPassport
身份验证
Safe Wallet
发布于 16小时前
阅读 ( 86 )
( 3 )
保护您的加密资产:UVAML.io让脏币无处遁形
一次查询,避免百万损失——别让一笔交易毁掉您的全部资产在加密货币交易中,一次不小心收到黑U,可能导致您的交易所账户永久封禁、全部资产被冻结,甚至面临法律调查。这不是危言耸听,而是每天都在发生的真实案例。图1:某用户因收到黑U导致交易所账户被永久冻结,资产全部无法取出为什么必须警惕黑U风险?
李小明
发布于 1天前
阅读 ( 9 )
如何应对供应链攻击
本文分析了最近NPM上发生的供应链攻击事件,恶意软件包通过替换用户交易中的区块链地址来窃取加密货币。文章解释了攻击原理,并提供了开发者可以采取的防御措施,包括版本锁定、使用`npm ci`以及实施Lavamoat等工具,以降低受到供应链攻击的风险。
供应链攻击
npm
恶意软件
LavaMoat
版本锁定
依赖管理
安全漏洞
osecio
发布于 1天前
阅读 ( 166 )
( 7 )
代码审计循序渐进:第一部分
本文是作者分享的进行代码审计的步骤,主要分为理解代码和发现漏洞两个阶段。第一部分主要讲解如何高效地理解代码,包括建立基础知识、绘制代码流程图、阅读代码、并做笔记记录审计过程中的疑问、猜想和关键点。
代码审计
智能合约
安全漏洞
代码分析
协议安全
漏洞挖掘
philbugcatcher
发布于 2天前
阅读 ( 177 )
( 11 )
Concordance:利用 LLM 安全地简化复杂智能合约
Certora 发布了一款名为 Concordance 的开源工具,它利用 LLM 自动简化复杂的智能合约代码,同时使用 Concord 等价性检查器来保证代码行为不变。Concordance 通过迭代地简化代码,并使用 Concord 验证 LLM 提出的修改方案,从而帮助开发者更容易地理解和审计复杂的智能合约。
智能合约
LLM
形式化验证
代码审计
Concordance
等价性检查
Certora
发布于 2天前
阅读 ( 209 )
( 10 )
哪些受攻击的跨链桥:跨链漏洞的智能合约安全指南
本文深入探讨了跨链桥的工作原理以及它们面临的安全挑战。文章解释了“锁定和铸造”机制,分析了过去发生的重大桥攻击事件,并详细阐述了智能合约中常见的漏洞,例如弱链下验证、私钥管理不当、逻辑错误、访问控制缺陷以及不正确的输入验证。此外,文章还强调了构建安全桥梁所需的重要安全措施,包括独立审计、去中心化验证、实时监控和强大的密钥管理。
跨链桥
智能合约
漏洞
攻击
安全
区块链
ancilartech
发布于 3天前
阅读 ( 62 )
( 3 )
Rust智能合约安全竞赛 - 赛后感
Certora举办了首次针对Rust的形式化验证竞赛,并与Code4rena和Cantina合作,为Soroban智能合约举办了两次社区竞赛。文章介绍了如何使用Certora的工具(如Sunbeam)和Rust库(如CVLR)进行形式化验证,并通过Blend v2和Aquarius两个竞赛的例子展示了形式化验证在发现智能合约漏洞中的应用。
形式化验证
Rust
智能合约
Soroban
Certora Prover
CVLR
Certora
发布于 3天前
阅读 ( 262 )
( 12 )
一次侥幸:NPM 漏洞事件险些给加密货币用户带来浩劫
NPM(Node Package Manager)上知名开发者账号qix遭受网络钓鱼攻击,导致多个流行的 JavaScript 库被植入恶意代码,攻击者试图通过替换加密货币交易中的接收者地址来窃取资金。虽然攻击影响有限,只造成少量资金损失,但它暴露了软件供应链的潜在风险,并提醒开发者和用户采取更严格的安全措施,例如升级到修复版本、锁定依赖项版本、避免盲签交易等。
npm
供应链攻击
JavaScript
网络钓鱼
加密货币
地址替换
Galaxy
发布于 3天前
阅读 ( 276 )
( 10 )
MGF 手动引导模糊测试:一份新手指南
本文介绍了手动引导模糊测试(MGF)在智能合约安全中的应用,MGF通过定义特定的测试流程和不变量,有针对性地检测漏洞,文章还对比了Wake MGF 与 Foundry 的模糊测试和不变量测试,并提供了使用Wake框架进行MGF的具体步骤和代码示例,展示了如何初始化合约、定义流程、处理 revert,定义不变量以及运行测试。
模糊测试
智能合约
漏洞检测
Wake框架
手动引导模糊测试
Solidity
Ackee
发布于 5天前
阅读 ( 306 )
( 12 )
BlockThreat - 2025年第36周
本周发生了多起安全事件,总计损失超过2600万美元,其中Bunni和Venus用户遭受的损失最为严重。Venus Protocol通过快速响应和治理措施,成功追回被盗资金。此外,Justin Sun因涉嫌市场操纵被 World Liberty Financial 列入黑名单。文章还包括了其他安全事件、犯罪活动、网络钓鱼攻击以及恶意软件的报告。
Bunni
venus
OlaXBT
Nemo
Justin Sun
WLFI
漏洞
黑客
钓鱼攻击
恶意软件
BlockThreat
发布于 5天前
阅读 ( 278 )
( 10 )
NPM供应链攻击剖析:涉及十亿次下载
NPM 账户 qix 遭到供应链攻击,导致多个常用软件包(如 chalk、strip-ansi 和 color-convert)发布恶意版本。该恶意软件是一个加密货币剪切器,通过替换网络请求中的钱包地址和直接劫持加密货币交易来窃取资金。建议立即审查项目依赖项,并使用 package.json 中的 overrides 功能将所有受影响的包锁定到其最后已知的安全版本。
供应链攻击
npm
恶意软件
加密货币剪切器
依赖项
package.json
JavaScript
jdstaerk
发布于 6天前
阅读 ( 122 )
( 11 )
区块链取证:归因技术与开源情报的作用
本文深入探讨了区块链取证中的归因技术以及开源情报(OSINT)的关键作用。文章详细介绍了通过交易模式、基础设施、跨链行为和行为模式进行钱包归因的方法,并强调了OSINT在连接区块链地址与现实世界实体方面的重要性,包括利用社交媒体、域名记录、开发者仓库等多种信息源来识别和追踪恶意行为者。文章旨在帮助调查人员更好地利用链上数据和外部信息,从而更有效地打击加密货币领域的欺诈和非法活动。
区块链取证
钱包归因
开源情报
OSINT
跨链分析
交易追踪
somaxbt.eth
发布于 2025-09-07
阅读 ( 195 )
( 12 )
Web3中的DNS安全:攻击与监控设置解析
本文深入探讨了Web3领域中DNS安全的重要性,详细分析了域名劫持的各种攻击手段和实际案例,并针对Web3的特殊性,提出了相应的安全配置和监控建议,强调了加强域名安全对于防止资产损失和维护项目声誉的关键作用。
DNS劫持
web3安全
域名安全
社会工程学
域名注册商
域名服务器
web3secnews
发布于 2025-09-06
阅读 ( 273 )
( 10 )
绕过代码完整性检查以在本地后门植入Signal、1Password、Slack等应用
文章揭示了Electron应用中一个名为CVE-2025-55305的漏洞,该漏洞允许攻击者通过篡改V8堆快照文件,绕过代码完整性检查,从而在Signal、1Password、Slack和Chrome等应用中植入后门。尽管Electron提供了完整性检查机制,但默认未启用,且未能覆盖V8堆快照,使得攻击者能够利用此漏洞实现持久性的隐蔽攻击。
Electron
CVE-2025-55305
V8堆快照
代码完整性检查
后门
漏洞
Trail of Bits
发布于 2025-09-05
阅读 ( 305 )
( 8 )
重入漏洞完全实战指南
本文全面分析了重入漏洞,并通过可执行的示例介绍了各种攻击类型。
重入漏洞
Reentrancy
CEI模式
智能合约安全
以太坊
漏洞分析
Ackee
发布于 2025-09-04
阅读 ( 969 )
( 57 )
利用Wake的引导模糊测试检测抢跑漏洞
本文介绍了使用Wake的Manually Guided Fuzzing (MGF)技术来发现智能合约中的抢跑漏洞。通过分析合约逻辑、使用Python进行测试以及简化测试流程,MGF能够有效地揭示潜在的安全问题,文章通过两个具体的案例,展示了如何利用MGF发现盐值碰撞和ERC-721通证铸造中的抢跑漏洞,并强调了在测试中考虑各种边缘情况的重要性。
智能合约
抢跑漏洞
模糊测试
安全测试
CREATE2
ERC-721
Ackee
发布于 2025-09-04
阅读 ( 546 )
( 11 )
今天就实施 EIP-7730 , 让硬件钱包不再盲签
本文讨论了Web3生态系统中长期被忽视的盲签问题,以及Bybit被黑事件暴露出的用户验证交易信息的不足。文章分析了EIP-712的局限性,并提出了EIP-7730作为一种解决方案,通过使硬件钱包能够解码交易,帮助用户理解他们实际签署的内容,从而提高交易的安全性,并降低了开发者的实施负担。
盲签
EIP-7730
EIP-712
硬件钱包
交易安全
Web3
Trail of Bits
发布于 2025-09-03
阅读 ( 1065 )
( 46 )
AI代理如何在任何代码库中发现深层逻辑漏洞
文章介绍了Hound,一个语言无关的AI代码安全审计工具,它模拟人类专家的认知过程,通过构建动态知识图谱和推理模型来发现代码中的深层逻辑错误。Hound使用大型推理模型生成有针对性的假设,并使用认知和组织过程来帮助AI进行推理、记忆和改进。文章还展示了如何在Code4rena的SecondSwap审计竞赛的代码库上运行Hound。
代码安全审计
AI
知识图谱
漏洞检测
智能合约
GPT
muellerberndt
发布于 2025-09-03
阅读 ( 515 )
( 27 )
‹
1
2
3
4
5
6
7
8
...
64
65
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
链上计算
call函数
Virtuals
ModuleSDK
执行拍卖
Session Keys
Electra
QuickAlerts
EVM区块链
去中心化云服务
GasToken
lazy-pull
加密 mempool
vm.roll
并行性
present value
Graftroot
以太坊私链
蜜罐
尼克·萨博
微调
Data Availability
函数可见性
私钥攻击
Casper FFG
30天文章收益榜
»
Helius
155 篇文章,420 学分
blockmagnates
99 篇文章,388 学分
Henry
98 篇文章,377 学分
寻月隐君
282 篇文章,283 学分
accretionxyz
2 篇文章,260 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: