全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

零时科技 || 深入 Bybit 攻击事件 Part1 - 关于 Safe{Wallet}

我们监测到 Bybit Cold Wallet 发起⼀笔⼤额转账,转出 401,346 ETH 价值约 1.5 BillionUSD 。经过多⽅确认,确定这是⼀起针对 Bybit 的攻击。
黑客攻击  攻击事件  web3安全 

Solodit Checklist详解:Griefing攻击

本文解释了Solodit checklist中关于防范Griefing攻击的两项检查(SOL-AM-GA-1和SOL-AM-GA-2),Griefing攻击旨在干扰或阻止正常用户执行功能,攻击者通常会付出成本(如gas费)。文章通过具体合约代码示例展示了攻击原理和PoC,并提供了修复建议,强调开发者需要从对抗的角度去思考,验证外部交互,确保状态一致性。
Griefing攻击  拒绝服务  智能合约  Solidity语言  Gas限制  重放保护 
  • Cyfrin
  • 发布于 2025-04-15
  • 阅读 ( 547 )
  • ( 16 )

OpenZeppelin Monitor - OpenZeppelin 文档

OpenZeppelin Monitor是一个区块链监控服务,可以实时监控链上活动,并根据配置的条件触发通知。它支持多链,具有可配置的监控计划,灵活的触发条件和可扩展的架构,可以方便地添加新的链。通过它,用户可以监视特定的事件和交易,并通过Slack、Discord、电子邮件等多种渠道发送警报。
区块链监控  实时监控  警报通知  多链支持  OpenZeppelin  链上安全 

可能导致互联网崩溃的三个协议(以及我们所知的世界):DNS、PKI 和 BGP

本文讨论了互联网的三个关键协议:DNS、PKI 和 BGP,这些协议中的任何一个出现问题都可能导致互联网瘫痪。
DNS  PKI  BGP  域名系统  公钥基础设施  边界网关协议  网络安全 

AI 辅助进行代码安全审计

本文探讨了人工智能工具在区块链安全审计中的应用,包括其优点、局限性及实际案例。文章详细描述了AI工具如何增强代码理解、漏洞检测、攻击向量验证和文档报告写作等过程,同时强调了人工审计师在验证工具输出的重要性。各类AI工具的选择与使用对提高审计效率。文章对当前AI技术的快速发展及其未来趋势进行了展望。
区块链安全  人工智能  漏洞检测  智能合约  审计工具  深度学习 

针对Node.js构建ROP链

本文延续了Stefan Schiller发现的Node.js文件写入漏洞,并详细阐述了利用该漏洞的过程,尤其是如何构建ROP链以实现代码执行。文章通过具体示例和代码展示了相关技术细节,包括如何找到可利用的gadget,构造有效的payload,以及如何在Node.js应用中成功执行命令。
Node.js  ROP链  漏洞利用  libuv  系统调用  安全研究 

攻破与防御去中心化系统的艺术 – ImmuneBytes

文章探讨了区块链安全不仅仅是代码层面的问题,更是一场战略性的对抗游戏。攻击者总是先行一步,通过信息优势、信号传递和多轮攻击等手段,利用防御者的盲点和激励机制的漏洞来突破系统。因此,区块链安全的关键在于理解攻击者的策略,并设计能够打破这些策略的防御机制。
区块链安全  对抗博弈论  MEV  跨链桥  治理攻击  暗森林 

Solodit 检查清单解读 (4):抢跑攻击

本文深入探讨了区块链中的抢跑攻击,分析了攻击者如何利用透明交易的特性实现自己的利益。通过实例和示例代码,作者提供了防范抢跑攻击的最佳实践,包括保护'获取或创建'模式、两步交易的安全性检查、避免尘埃攻击和正确使用承诺-揭示方案。通过理解这些攻击方式,开发者可以更好地设计安全的智能合约。
智能合约  安全性  承诺-揭示  尘埃攻击  抢跑 
  • Cyfrin
  • 发布于 2025-04-12
  • 阅读 ( 1067 )
  • ( 81 )

Solidity 安全注意事项

本文总结了智能合约开发中常见的安全漏洞和最佳实践,包括重入攻击、算术精度问题、访问控制不当、非标准协议、原生代币处理、底层调用、随机数问题、存储槽管理以及编译器版本固定。同时,强调使用静态分析工具和编写全面测试的重要性。
重入攻击  算术精度  访问控制  ERC-20  ERC-721  随机数 

ZKsync加密预编译审计

本篇文章对Matter Labs的zksync-crypto库进行了详尽的审计,重点指出多项高严重性问题,包括实现错误、缺少安全检查等,并提出了一些优化建议。审计内容广泛,深入探讨了加密算法的实现细节及其对ZKsync的影响。
zkSync  审计  安全性  代码优化  加密算法  BN256 

日常用户安全运营:保持安全的实用指南 - 第二部分

本文是OpSec系列文章的第二部分,主要关注设备安全,包括系统加固、虚拟化、沙盒隔离、网络安全、恶意软件防御以及操作安全最佳实践。文章还探讨了在Web3中维护隐私的方法,包括选择合适的隐私级别、使用隐私工具和技术,以及应对现实世界的威胁和隐私风险,旨在帮助用户保护其加密资产和个人信息。
OpSec  设备安全  虚拟化  沙盒  网络安全  隐私 

FCHAIN验证者和质押合约审计

本文对F Foundation的FCHAIN智能合约进行了审计,重点分析了其验证者注册和质押机制,揭示了一些关键的安全漏洞和优化建议。本文还详细描述了相关的重大问题和审计过程中的信任假设,建议F Foundation团队关注Ava Labs的最新进展,以便及时调整和改进其合约代码。
智能合约  区块链  审计  质押机制  安全模型  合约开发 

ZKsync 协议预编译实现审计

本文对以太坊 zkEVM 上的预编译操作进行了审核,涵盖了 ModExp、ECAdd、ECMul 和 ECPairing 操作及其对应的零知识电路构造。审查重点在于算法实现的正确性、输入验证、边界条件处理以及计算逻辑向电路约束的正确转换。虽然发现了一些优化和最佳实践方面的问题,但总体而言,代码库展现了对安全问题的良好关注。
预编译  zkEVM  ModExp  ECAdd  安全审核  零知识电路 

Safe 智能合约账户的安全操作指南 - 第 2 部分

本文探讨了高价值Safe智能账户的安全操作指南,包括推荐的安全配置、签名过程以及人员培训等方面。文中强调了针对特定攻击的多种预防措施和安全策略,以确保高价值安全账户的有效操作和减少人为失误的风险。
Ethereum  安全操作  Smart Account  多签名  硬件钱包  DPRK攻击 
  • Bazzani
  • 发布于 2025-04-11
  • 阅读 ( 899 )
  • ( 39 )

OpenZeppelin Relayers和Monitor现已开源

本文介绍了OpenZeppelin最新发布的开源Relayers和Monitor工具,旨在为区块链开发者提供更高的自定义和灵活性。Relayers支持各种自动化交易需求,而Monitor则用于实时监控区块链活动,两者均有助于提高开发效率。文章还讨论了这些工具在Solana和Stellar网络的应用,并鼓励开发者参与反馈和建议。
开源工具  区块链开发  自动化交易  实时监控  Solana  Stellar 

日常用户安全运维:安全指南 - 第一部分

本文是关于加密货币OpSec的实践指南的第一部分,强调了保护私钥、防范网络钓鱼和社会工程攻击的重要性。文章详细介绍了如何安全地存储私钥,包括使用硬件钱包、多重签名和离线设备,以及如何识别和避免常见的网络钓鱼和社交工程手段,以确保加密资产的安全。
OpSec  私钥  硬件钱包  网络钓鱼  社会工程  多重签名 

智能合约安全中单元测试的作用 – ImmuneBytes

智能合约在区块链网络上处理关键的金融和运营交易,由于其不可变性,部署后难以更改,因此安全性是首要问题。单元测试在确保智能合约在部署到区块链之前,可以发挥关键作用,尽早发现错误、安全漏洞和逻辑错误,通过模拟攻击场景并确保适当的业务逻辑执行,可以显著降低漏洞利用的风险并提高合约的可靠性。
智能合约  单元测试  安全漏洞  区块链  EVM  Solidity 

Solodit 检查清单解析:拒绝服务攻击 第2部分

本文继续讨论了Solodit智能合约检查清单,重点介绍了如何防止拒绝服务(DoS)攻击,分析了队列处理漏洞、低精度代币的挑战以及如何安全处理外部调用的重要性。通过实例说明了每种漏洞的潜在风险及对应的解决方案,以提高智能合约的安全性和抵御能力。
智能合约  拒绝服务攻击  安全性  队列处理  外部调用 
  • Cyfrin
  • 发布于 2025-04-09
  • 阅读 ( 853 )
  • ( 40 )

Solodit 检查表解析:捐赠攻击

本文深入探讨了“捐赠攻击”在智能合约中的危害,并强调了内置会计方法的重要性以增强安全性。作者通过具体示例和代码展示了如何通过恶意捐赠来操纵合约状态,导致资产的失衡,并建议使用内部会计而非外部函数来维护资金的准确性和安全性。
智能合约  捐赠攻击  内置会计  ERC-4626  代币平衡  安全性 
  • Cyfrin
  • 发布于 2025-04-09
  • 阅读 ( 740 )
  • ( 13 )

审计 - OpenZeppelin 文档

本文档介绍了 OpenZeppelin Defender 的 Audit 模块,该模块旨在帮助团队进行智能合约安全审计,保持可搜索的审计和问题存储库,简化审计员与开发人员之间的交互,自动化修复审查过程,并跟踪问题的完整生命周期。主要功能包括审计报告同步、问题跟踪、状态管理以及修复验证。
智能合约审计  安全漏洞  问题跟踪  修复验证  OpenZeppelin Defender  代码安全