安全文章 - 登链社区

Cetus黑客来自Aptos生态？

2025年5月22日，SUI公链头部去中心化交易所（DEX）Cetus Protocol遭遇了其生态史上最严重的智能合约攻击事件，造成高达2.6亿美元的巨额损失，不仅重创SUI生态，更引发全行业对DeFi安全性的深度反思。

Sui Cetus Aptos Solana 黑客事件 Move 虚拟机

老登
发布于 2小时前
阅读 ( 37 )

Beraborrow 被遗漏的漏洞

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞，该漏洞通过模糊测试发现，但在安全竞赛中被遗漏。该漏洞与舍入误差有关，导致每个 Vault 份额的价格意外下降，从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。

模糊测试 Beraborrow Liquity Recovery Mode 舍入误差 ERC4626

Recon
发布于 21小时前
阅读 ( 46 )

Fairblock：不可腐蚀的市场和隐私稳定币

本文深入探讨了Fairblock这一动态保密计算平台，旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案，结合多方计算(MPC)、同态加密(HE)等加密技术，为DeFi、AI和博弈等应用实现链上保密，构建一个值得信任且无腐败的市场环境，从而推动机构采用和更广泛的Web3应用。

Fairblock 链上保密多方计算同态加密 FairyRing FairyKit

Shoal Research
发布于 1天前
阅读 ( 110 )
( 8 )

零时科技 || Cetus 攻击事件分析

我们监控到 SUI 上针对 Cetus 的攻击事件，攻击共造成 223M USD 的损失

黑客攻击攻击事件 web3安全

零时科技
发布于 3天前
阅读 ( 129 )
( 5 )

BitsLab“Web3 护航计划”安全团队发现并已协助 Meme 交易平台 Android App 修复任意账号接管漏洞

5月21日，由BitsLab发起的'Web3护航计划'中的安全团队发现某知名Meme交易平台AndroidApp中存在任意账户接管漏洞，并协助其完成修复。通过对APP的审计发现其使⽤了第三⽅浏览器组件，该组件的onCreate⽅法中存在IntentRedirec

BitsLab
发布于 2025-05-22
阅读 ( 41 )

Damn Vulnerable DeFi V4 解决方案 — #11. Backdoor

本文分析了Damn Vulnerable DeFi V4的Backdoor挑战，该挑战利用了WalletRegistry和Safe钱包初始化过程中的漏洞。

智能合约安全 delegate call 漏洞分析以太坊 Safe钱包 Damn Vulnerable DeFi

CoinsBench
发布于 2025-05-17
阅读 ( 164 )
( 6 )

Matter Labs GuardianRecoveryValidator 审计

该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告，审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。

智能合约审计报告安全漏洞以太坊 zkSync 账户抽象

OpenZeppelin
发布于 2025-05-16
阅读 ( 180 )
( 8 )

SSO账户恢复电路审计

该文档是OpenZeppelin对Moonsong-Labs/zksync-social-login-circuit代码仓库进行的安全审计报告，主要内容是利用零知识证明验证Google账户所有权的Circom电路，用于智能账户恢复，审计发现了一些完整性和非确定性问题，并提出了改进代码质量的建议。

零知识证明 zkSync 智能合约安全审计 circom 账户恢复

OpenZeppelin
发布于 2025-05-16
阅读 ( 175 )
( 14 )

SSO账户OIDC恢复Solidity审计

本次审计主要评估了 Matter Labs 的 zksync-sso-clave-contracts 仓库中关于使用 OpenID Connect (OIDC) 进行账户恢复的合约。

OIDC 账户恢复零知识证明智能合约安全审计签名重放攻击

OpenZeppelin
发布于 2025-05-16
阅读 ( 196 )
( 9 )

零时科技入选安全牛第十二版《中国网络安全行业全景图》

安全牛第十二版《中国网络安全行业全景图》，零时科技强势入围“区块链安全”领域。

区块链安全安全牛

零时科技
发布于 2025-05-14
阅读 ( 214 )
( 15 )

OKX研究院 | 账户抽象10年演进终局之战，透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”？它到底解决了啥问题？Pectra 升级后对钱包、开发者和普通用户意味着什么？

eth Vitalik 账号抽象

十四君
发布于 2025-05-13
阅读 ( 284 )
( 17 )

Damn Vulnerable DeFi V4 解决方案 —— #10. Free Rider

本文分析了Damn Vulnerable DeFi V4挑战中的Free Rider漏洞，该漏洞存在于NFT市场的购买逻辑中，由于在支付卖家之前就将NFT转移给买家，导致买家可以免费获得NFT并退回付款。攻击者利用Uniswap V2闪电贷获得初始资金，购买所有NFT，然后将NFT转移到recoveryManager合约以获得赏金，最后偿还闪电贷。

智能合约漏洞 NFT 闪电贷重入攻击以太坊

CoinsBench
发布于 2025-05-13
阅读 ( 176 )
( 7 )

Across Linea CCTP差异审计

本文是对Across协议的智能合约进行安全审计的报告，重点关注为了集成Circle CCTP V2版本协议对合约所做的修改，以支持在以太坊和Linea区块链之间桥接USDC代币。审计发现了一些低风险问题，包括CCTP版本检查的可靠性问题和文档不足，并提出了相应的改进建议。总体而言，代码变更实现了使用CCTP协议的第二个版本将USDC桥接到Linea区块链的功能。

CCTP USDC Linea 智能合约安全审计桥接协议以太坊

OpenZeppelin
发布于 2025-05-13
阅读 ( 193 )
( 7 )

Across协议 SVM Solidity审计

本文是对Across协议的Solidity合约进行的安全审计报告，重点关注了为支持Solana网络和ERC-7683订单所做的代码更改。审计发现了包括潜在的资金池耗尽漏洞、地址转换错误、重复代码、缺少单元测试等问题，并提出了修复建议。报告还包括对之前提交的PR的审查以及客户端报告的问题。

智能合约安全审计 Solidity 区块链安全以太坊 Solana

OpenZeppelin
发布于 2025-05-13
阅读 ( 179 )
( 6 )

安全 - Across 审计

本次审核了across-protocol/contracts代码仓库，主要关注L3支持、ZkStack支持、可预测的中继哈希、支持最新版本的ERC-7683以及World Chain支持。发现了多个安全问题，包括缺少访问控制、错误的函数调用、不正确的ETH传输处理，以及潜在的重放攻击等。建议改进代码，增加测试，并确保代码符合最新的ERC-7683标准。

跨链桥智能合约安全审计以太坊 ERC-7683 ZkStack

OpenZeppelin
发布于 2025-05-13
阅读 ( 246 )
( 9 )

Across 协议 Diff 审计 - Arbitrum 自定义 GasToken 和独占期

本文是一篇针对 Across 协议的智能合约代码审计报告，该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题，并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。

智能合约代码审计以太坊漏洞 gas token 安全性

OpenZeppelin
发布于 2025-05-13
阅读 ( 202 )
( 6 )

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞：RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机（TVM）深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原

BitsLab
发布于 2025-05-12
阅读 ( 164 )
( 7 )

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易，并验证智能合约行为，从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata，模拟 ERC-20 approve 交易的影响，并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。

以太坊交易模拟 Calldata UI欺骗 Foundry Python

cyfrin
发布于 2025-05-10
阅读 ( 196 )
( 9 )

Damn Vulnerable DeFi V4 解决方案 - #7. 受损

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据，解码出两个预言机报告者的私钥，攻击者可以利用这些私钥操纵NFT价格，低价购买后再以高价卖出，从而获利。

DeFi 漏洞利用私钥泄露预言机价格操纵 Damn Vulnerable DeFi

CoinsBench
发布于 2025-05-10
阅读 ( 258 )
( 13 )

解码以太坊交易以防止UI欺骗

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据，用户可以验证交易的意图，防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程，并提供了一个Python脚本来自动化calldata分析，最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。

Calldata UI欺骗以太坊 ERC-20 交易解码安全

cyfrin
发布于 2025-05-08
阅读 ( 178 )
( 8 )