BitsLab旗下TonBit再次于TON虚拟机（TVM）深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境（使用本地区块链）、编写单元测试（使用Chai断言库），以及执行复杂断言的方式（使用OpenZeppelin Test Helpers）。文章还提及了持续集成服务（如CircleCI）的设置，以便每次提交代码到GitHub时自动运行测试。

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易，并验证智能合约行为，从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata，模拟 ERC-20 approve 交易的影响，并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。

本文是关于OpenZeppelin升级插件的常见问题解答，涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据，解码出两个预言机报告者的私钥，攻击者可以利用这些私钥操纵NFT价格，低价购买后再以高价卖出，从而获利。

本文介绍了如何使用 OpenZeppelin Defender 管理智能合约中的角色权限，包括添加合约、查看和修改角色。通过一个基于角色的访问控制（RBAC）智能合约示例，演示了如何创建合约、分配和撤销角色，以及如何使用 Defender 的地址簿和交易提案功能进行操作。主要目的是帮助用户了解如何使用 Defender 有效地管理和控制智能合约的访问权限。

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据，用户可以验证交易的意图，防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程，并提供了一个Python脚本来自动化calldata分析，最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。

本文分析了Damn Vulnerable DeFi V4挑战中的 Naive Receiver 漏洞。该挑战结合了闪电贷滥用和元交易转发器的安全问题。攻击者可以通过强制对 FlashLoanReceiver 进行闪电贷，支付手续费来耗尽其资金。然后，通过构造包含池部署者地址的元交易，冒充部署者提取池中的所有资金。

本文分析了Damn Vulnerable DeFi V4挑战中的Truster漏洞。该漏洞存在于flashLoan()函数中，允许通过target.functionCall(data)执行任意函数调用，攻击者可以利用此漏洞，无需借款即可通过调用approve()函数获得授权，转移pool中的所有tokens到攻击者地址，最终成功攻击。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。

本文分析了Damn Vulnerable DeFi V4第5题The Rewarder中的漏洞。该漏洞存在于claimRewards()函数中，由于合约在处理完所有claims后才标记为已领取，攻击者可以通过提交多个相同Merkle proof的claim，多次领取奖励，从而耗尽合约中的token。文章还提供了防止此漏洞的机制。

Cyfrin发布了五月份的区块链安全和教育新闻，内容涵盖了新的web3开发课程、智能合约重大安全事件、审计洞察、Aderyn更新以及区块链开发人员必备的安全编码提示。此外，还包括Cyfrin与Circle合作的消息、Rocket Pool集成课程，以及CodeHawks成功案例。最后，文章还讨论了高调黑客攻击和安全事件，并给出了行业新闻和建议。

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址，以检测恶意地址。

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战，该挑战通过操纵会计系统实现拒绝服务攻击。

4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元，其中绝大多数（3.18亿美元）与网络钓鱼攻击有关。

文章讨论了当前企业IT基础设施对传统Windows Active Directory的依赖以及由此产生的安全风险。通过分析M&S遭受的攻击事件，揭示了攻击者如何利用NTDS.dit文件中的凭据进行横向渗透并最终部署勒索软件的问题。文章强调了监控NTDS.DIT文件访问、实施多因素身份验证以及进行安全投资的重要性。

本文解释了矿工攻击，即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型：使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击，文章都提供了示例代码、漏洞解释、缓解措施以及测试用例，旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。

本文档描述了一种可扩展的Safe架构，旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现，允许自定义方法调用和EIP-712签名验证，同时保持与现有Safe功能的向后兼容性，例如ERC-1271签名和Token回调，从而扩展Safe的功能，并允许更灵活的交互方式。

本文介绍了在智能合约开发中使用加密密钥的重要性，并提供了在 Hardhat 和 Foundry 框架中实现加密密钥的详细步骤。文章强调了明文存储密钥的风险，并提供了使用 AES 等加密技术保护密钥的方法，同时推荐了密钥管理和安全开发的最佳实践。

本文档介绍了OpenZeppelin Contracts库中提供的各种实用工具，包括密码学（签名验证，包括ECDSA、P256和RSA）、Merkle证明验证、接口自省（ERC-165）、数学运算、数据结构（如BitMaps、EnumerableSet、MerkleTree等）、数据打包、底层存储槽操作(StorageSlot)、Base64编码以及多重调用（Multicall）等功能。