全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Stellar合约库v0.3.0-rc.2审计

OpenZeppelin 对 Stellar Contracts Library v0.3.0-rc.3 版本进行了安全审计,发现了包括严重、高、中、低风险在内的37个问题,该版本引入了架构增强、新功能和扩展的开发者实用程序,特别是通证模块的重构和基于角色的访问控制机制。审计报告强调了潜在的安全风险,并提出了改进建议。
智能合约  安全审计  Stellar  OpenZeppelin  访问控制  通证 

Cloudflare:伟大的AI爬虫防御者

文章讨论了Cloudflare如何帮助网站过滤恶意流量和AI爬虫,特别是那些用于训练机器学习模型的爬虫。Cloudflare推出一项新服务,要求AI公司为抓取网站内容付费。文章还提到了作者使用robots.txt文件来阻止某些爬虫,并使用Cloudflare的工具来阻止不希望的AI爬虫访问其网站。
Cloudflare  WAF  AI爬虫  Web应用防火墙  robots.txt 

Oxorio SAMM 模块审计

该文档是对 Oxorio 团队开发的 Safe Anonymous Mail Module (SAMM) 的代码审计报告,SAMM 旨在为 Safe 多重签名钱包提供匿名交易发起和批准功能。审计发现了多个需要改进的地方,包括安全性和匿名性问题,例如缺少 DKIM 公钥与参与者域名的匹配检查、部分去匿名化、以及潜在的DoS攻击。
代码审计  零知识证明  多重签名钱包  匿名性  DKIM  智能合约安全  Noir语言 

ERC4626 金库安全指南 v12.0

本文档是ERC4626 Vault安全启动的第12.0版本,内容涵盖了ERC4626 Vault实现中发现的关键安全模式和漏洞,包括各种类型的Vault、跨链系统、AMM集成、CDP实现、清算机制、以及预言机和价格馈送问题等。文档详细列出了非标准代币支持问题、重入攻击、首次存款攻击、份额和价格操纵、通胀/紧缩攻击等一系列安全漏洞模式,并提供了相应的安全实施示例、检测方法和缓解措施。
ERC4626  Vault  智能合约  安全漏洞  重入攻击  预言机  清算 

Web3中AI生成的诈骗的兴起:2025年最危险的趋势

AI技术被用于加密货币诈骗,诈骗手段愈发精良,从仿冒用户界面到自动化社交工程,再到武器化治理,攻击者利用AI以前所未有的速度模仿项目,用户仅凭界面外观已难以判断安全性,Web3的未来之战将是与仿冒的斗争。
AI  加密货币诈骗  社会工程  web3安全  智能合约  人工智能 

零时聚焦 || 2025 年上半年 web3 链上安全态势分析报告

Web3 区块链领域发生重大安全事件 87 起,因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的经济损失达 22.9 亿美元
黑客攻击  钓鱼攻击  web3安全 

BlockThreat - 2025年第26周周报

本周发生了多起安全事件,Resupply和Silo Finance损失惨重,攻击源于常见的漏洞,即利用空市场的舍入误差来铸造过多的协议代币。此外,MEV机器人的访问控制不足和函数参数验证不严也导致了损失。文章还提到了Unphishable项目,旨在帮助用户识别和避免常见的Web3网络钓鱼攻击。
漏洞  安全事件  MEV  网络钓鱼  智能合约安全  区块链安全 

EVM 任意调用审计要点

本文探讨了智能合约审计中任意调用(Arbitrary Calls)的风险,指出合约若存在任意调用,则不应包含 transfer/transferFrom/approve 等操作,否则可能导致代币被盗。文章还列举了需要检查的要点、安全假设以及应对措施,强调了防范利用任意调用漏洞的重要性。
智能合约  审计  任意调用  安全漏洞  重入攻击  delegatecall 

第二部分:如何保护你的智能合约免受状态膨胀和Gas消耗攻击

本文深入探讨了智能合约中高级拒绝服务(DoS)攻击,重点介绍了状态膨胀和Gas消耗攻击(Gas Griefing)的原理、攻击方式以及实际案例,并通过代码示例展示了如何通过限制状态增长、批量处理数据、实施熔断机制等手段来构建具有DoS防御能力的智能合约。
智能合约安全  DoS攻击  状态膨胀  gas消耗攻击  Solidity  以太坊 

漏洞搜寻:零知识、充分偏执与反向凝视的AI - ZKSECURITY

本文探讨了AI在零知识电路和应用程序中发现漏洞的能力,zkSecurity开发了一款名为SnarkSentinel的AI驱动的ZK审计工具。
AI  零知识证明  审计  漏洞检测  SnarkSentinel  上下文工程 

Across协议OFT集成差异化审计

本文是对 Across 协议代码的审计报告,重点关注了引入 LayerZero OFT 桥接机制的更改,并评估了其安全性、集成性和潜在风险。报告内容包括高、中、低风险的问题,以及关于代码质量、测试覆盖率和文档的改进建议。同时,报告也强调了协议中存在的信任假设和未来集成时需要注意的关键点。
区块链  跨链桥  LayerZero  OFT  安全审计  智能合约  代码分析 

Periphery变更审计

本次OpenZeppelin对Across协议的合约仓库进行了差异化审计,重点关注SpokePoolPeriphery合约及其相关组件。审计发现了包括高、中、低风险在内的多个问题,主要集中在智能合约中swap逻辑,签名处理,EIP-712编码,重放攻击等方面,所有发现的问题均已被修复。本次审计旨在提升Across协议的跨链桥功能和用户体验,确保资产转移的安全性和效率。
跨链桥  智能合约  安全审计  EIP-712  重放攻击  Permit2 

Cyfrin 2025年7月区块链安全与教育新闻通讯

Cyfrin发布了2025年7月的区块链安全和教育新闻通讯,内容涵盖了新的GMX交易课程、职业发展方向、Web3钱包安全课程和资格认证、Solodit更新以及CodeHawks Eagles的成功案例。此外,还包括高风险攻击事件的分析、Solana程序执行的深入探讨、以及关于使用EIP-7702从受损钱包中恢复资产的Bash脚本。
区块链安全  智能合约审计  DeFi安全  Web3钱包  Solidity  漏洞 
  • Cyfrin
  • 发布于 2025-07-03
  • 阅读 ( 153 )
  • ( 8 )

Remitano、GAMBL、Rocketswap:当操作失误击败代码漏洞

本文分析了Remitano、GAMBL、DAppSocial和Rocketswap近期发生的四起安全漏洞事件,损失总计超过440万美元。这些事件主要由于私钥泄露、推荐系统漏洞和逻辑漏洞导致,强调了操作安全在Web3安全中的重要性。
私钥泄露  智能合约安全  安全漏洞  以太坊  Arbitrum  操作安全 

CoinEx、火币、FloorDAO:当密钥、逻辑和供应控制全部失效

本文总结了近期Huobi, CoinEx, BFCToken, FloorDAO等多个项目遭受的攻击事件,总损失超过6000万美元。攻击原因包括私钥泄露、价格操纵漏洞和逻辑漏洞等。同时,文章也推广了Olympix提供的Solidity分析工具,旨在帮助开发者识别和修复智能合约中的漏洞。
私钥泄露  价格操纵  逻辑漏洞  智能合约  安全漏洞  区块链安全 

CIVNFT、Themis、Shido:当访问控制、预言机和配置同时失效

本文总结了近期发生的四起智能合约漏洞利用事件,涉及CIVNFT、Themis Protocol、Shido以及DEPUSDT/LEVUSDT。
智能合约  漏洞利用  访问控制  价格操纵  安全审计  Solidity 

打破 Gas 陷阱:保护智能合约免受拒绝服务攻击

本文是智能合约安全系列文章的第一部分,主要讨论了智能合约中拒绝服务(DoS)攻击的威胁与防范。文章通过实际案例Fomo3D,讲解了DoS攻击如何利用以太坊的gas限制使合约不可用,并重点介绍了利用无限制循环和外部调用失败两种主要攻击手段。文章还提供了使用“拉取而非推送”模式、限制状态增长、熔断器等多种缓解措施,以及Slither、MythX、Foundry等高级工具,以构建更具弹性的智能合约。
拒绝服务攻击  DoS攻击  智能合约安全  Solidity语言  以太坊  Gas限制 

高级 Foundry 作弊码系列:第 6 部分 - 使用 Forge 进行高级模糊测试

in  Foundry 高级作弊码系列
本文是Advanced Foundry Cheatcodes系列文章的第六部分,介绍了 Foundry 的高级模糊测试功能,通过随机输入参数自动发现智能合约的边缘情况,包括溢出、回滚等问题。文章还涉及了如何使用 forking cheat-codes 与主网合约交互,以及如何通过 vm.assume 和 bound() 来缩小输入范围,从而提高测试效率。
Foundry  模糊测试  智能合约  边缘情况  EVM  Invariant Testing 

【安全月报】| 6月份因黑客攻击、诈骗等导致损失约1.84亿美元

6月,加密货币领域因黑客攻击、诈骗和漏洞利用,损失金额约达1.84亿美元。其中,黑客攻击事件尤为突出,共发生了15起。
安全月报  黑客攻击  网络钓鱼 

安全指南:使用 Solodit 保护智能合约

本文介绍了 Solodit 社区维护的智能合约安全审计检查表,强调了智能合约安全的重要性,并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源,并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施,同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。
智能合约  安全审计  Solodit 检查表  重入攻击  拒绝服务  前置交易  以太坊  漏洞