文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
安全指南:使用 Solodit 保护智能合约
本文介绍了 Solodit 社区维护的智能合约安全审计检查表,强调了智能合约安全的重要性,并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源,并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施,同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。
智能合约
安全审计
Solodit 检查表
重入攻击
拒绝服务
前置交易
以太坊
漏洞
ankitacode11
发布于 2025-07-01
阅读 ( 1118 )
( 46 )
OpenZeppelin Defender 将停止服务 - 常见问题
OpenZeppelin Defender将于2026年7月1日停止提供托管服务,用户需要迁移到开源版本。开源版本Relayers和Monitor将以Docker镜像形式提供,并支持KMS集成。迁移有12个月的缓冲期,OpenZeppelin将提供详细的迁移指南,并提供技术支持,以确保平稳过渡。
OpenZeppelin Defender
开源
迁移
relayers
Monitor
Docker
OpenZeppelin
发布于 2025-07-01
阅读 ( 251 )
利用形式化验证查找编译器 Bug
本文介绍了Certora团队开发的一款用于验证编译器优化的等价性检查工具,该工具通过比较优化前后程序的行为来检测编译器bug。文章还分享了该工具在Vyper编译器中发现的一个优化bug,该bug导致局部变量被错误地映射到相同的堆栈位置,从而改变了程序的行为。该bug已在Vyper 0.4.2版本中修复。
编译器优化
等价性检查
形式化验证
Vyper
Certora Prover
bug检测
Certora
发布于 2025-07-01
阅读 ( 336 )
( 3 )
EDE、Jimbos、CS Token 安全实践:预言机后门、滑点漏洞与闪电贷攻击
本文总结了近期DeFi领域发生的多起安全事件,包括El Dorado Exchange的价格预言机操纵漏洞、Jimbos Protocol的滑点控制不足问题、CS Token的闪电贷操纵价格漏洞、Local Traders的权限检查缺失漏洞以及Sell Token的输入验证不当漏洞。这些事件暴露出DeFi系统在面临攻击时的脆弱性,强调了输入验证、权限控制和对抗性环境设计的重要性。
DeFi
漏洞
预言机
闪电贷
权限控制
输入验证
blockmagnates
发布于 2025-06-30
阅读 ( 306 )
( 4 )
Palmswap、Biswap、LibertiVault:当价格曲线、权限和重入全部失效
本文总结了2023年7月发生的四起DeFi安全事件,Palmswap由于价格操纵损失90万美元,LibertiVault由于重入攻击损失45万美元,Bamboo AI由于价格操纵损失5.3万美元,Biswap由于访问控制漏洞损失86.5万美元。这些事件提醒人们,DeFi项目中信任假设和缺失的安全措施会导致重大损失。
DeFi
漏洞
价格操纵
重入攻击
访问控制
智能合约
blockmagnates
发布于 2025-06-30
阅读 ( 258 )
( 4 )
实用工具 - OpenZeppelin 文档
本文档介绍了OpenZeppelin Contracts库中的实用工具合约和库,用于提高智能合约的安全性、处理新型数据类型以及安全地使用底层原语。包括安全工具(如Pausable和ReentrancyGuard),以及用于处理地址、数组和字符串的库。此外,还介绍了用于处理计数器、可枚举映射和集合的实用工具,以及安全使用CREATE2操作码的工具。
Pausable
ReentrancyGuard
EnumerableMap
EnumerableSet
CREATE2
重入攻击
安全转换
OpenZeppelin
发布于 2025-06-29
阅读 ( 209 )
( 15 )
Stylus 合约库 v0.2.0 审计
本次是对 OpenZeppelin 的 rust-contracts-stylus 代码库进行审计的结果总结。审计范围包括密码学库和合约库,共发现 22 个问题,包括1个高危、2个中危、9个低危问题。密码学库包含算术、曲线、域操作以及Poseidon2、Pedersen哈希算法的实现;合约库实现了ERC-20,ERC-1155等token 标准,以及访问控制,金融等相关合约。
代码审计
Rust语言
智能合约
密码学
ERC-20
ERC-1155
OpenZeppelin
发布于 2025-06-28
阅读 ( 226 )
( 9 )
Silo Finance 杠杆合约攻击事件事后分析
Silo Finance 的一个新杠杆合约模块在测试阶段遭到攻击,由于过于宽泛的批准设置导致借款操控漏洞。该模块与核心Silo协议隔离,因此核心协议、金库、市场或用户资金未受影响。Certora 此前对该合约进行了安全审查,但未发现此漏洞,事后进行了风险评估和补救措施,并确认现有Silo代码是安全的。
Silo Finance
杠杆合约
安全漏洞
Certora
风险评估
形式化验证
智能合约
Certora
发布于 2025-06-28
阅读 ( 290 )
( 5 )
网络钓鱼攻击日益复杂
本文是一位网络安全专家分享了自己亲身经历的一次复杂加密货币钓鱼攻击,攻击者通过伪装成Coinbase员工,利用社工手段和多渠道协同,试图诱导受害者转移资产到虚假的Coinbase Vault中。作者详细拆解了攻击过程中的各种欺骗手段和危险信号,并分享了实用的安全建议,旨在帮助数字资产投资者识别和防范日益复杂网络钓鱼攻击。
网络钓鱼
加密货币
Coinbase
安全
多重签名钱包
社会工程学
Galaxy
发布于 2025-06-27
阅读 ( 281 )
( 30 )
揭示Solana的ZK ElGamal证明程序中的幻影挑战可靠性漏洞- ZKSECURITY
在Solana的ZK ElGamal Proof Program中发现了一个严重的声音漏洞,该漏洞允许恶意证明者伪造sigma OR 证明,绕过机密传输中的费用验证。攻击者可以操纵加密的费用金额来任意铸造或烧毁Token,而无需泄露实际的传输价值。该漏洞的根本原因是Fiat-Shamir转换中的一个微妙错误,即一个由证明者生成的“挑战”值未被吸收到transcript中。
零知识证明
Solana
ZK ElGamal Proof Program
sigma OR 证明
Fiat-Shamir转换
密码学
zksecurity
发布于 2025-06-27
阅读 ( 235 )
( 27 )
如何超越私钥风险,实现智能合约彻底安全
文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
私钥泄露
多重签名
时间锁
最小权限原则
访问控制
智能合约安全
Trail of Bits
发布于 2025-06-27
阅读 ( 837 )
( 32 )
零时科技 || SiloFinance 攻击事件分析
我们监控到 Ethereum 上针对 SiloFinance 的攻击事件,攻击共造成 54.6k USD 的损失。
零时科技
发布于 2025-06-27
阅读 ( 166 )
( 6 )
Hyperlane 速率限制 ISM 和 Hook 中的访问控制缺陷
作者在 Hyperlane 的智能合约代码库中发现了一个严重漏洞,该漏洞存在于其速率限制的实现中,攻击者可以以极小的成本完全关闭跨链Token传输和消息验证,Hyperlane 团队通过实施适当的访问控制措施解决了该问题。
Hyperlane
跨链通信
速率限制
智能合约
拒绝服务攻击
访问控制
sujithsomraaj.eth
发布于 2025-06-27
阅读 ( 204 )
( 12 )
Solodit清单详解:Rug Pull
本文解释了Solodit Checklist中的关于“Rug Pull”的风险,即管理员权限过大导致恶意提取用户资金的安全问题。文章通过Zunami Protocol事件,强调了限制管理员权限的重要性,并提供了诸如费用分离、时间锁等安全设计模式,以降低合约风险,保障用户资产安全。
rug pull
智能合约
管理员权限
安全漏洞
DeFi
Solidity
Cyfrin
发布于 2025-06-26
阅读 ( 637 )
( 59 )
自定义脚本 - OpenZeppelin 文档
本文介绍了OpenZeppelin Monitor的自定义脚本功能,该功能允许用户实现自定义的过滤器脚本和通知处理脚本,从而实现更精细的监控匹配和个性化的通知处理。文章详细说明了如何使用 Bash、Python 和 JavaScript 创建脚本,以及脚本的输入输出要求。此外,还提供了性能方面的考虑,例如文件描述符限制、脚本超时和资源使用情况。
OpenZeppelin Monitor
自定义脚本
过滤器脚本
通知脚本
Bash
Python
JavaScript
OpenZeppelin
发布于 2025-06-26
阅读 ( 165 )
( 9 )
内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计
文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。
Solana
Rust
智能合约
安全审计
漏洞
内存安全
Anchor
跨程序调用
Three Sigma
发布于 2025-06-26
阅读 ( 883 )
( 71 )
🎯 有状态模糊测试与无状态模糊测试
本文深入探讨了无状态模糊测试和有状态模糊测试在智能合约安全中的作用。无状态模糊测试将每个测试案例视为独立事件,适用于快速发现输入验证和简单功能中的漏洞。有状态模糊测试则追踪系统状态,模拟真实攻击行为,擅长检测多步骤交互和状态依赖性漏洞,如重入攻击和经济漏洞。文章还介绍了混合模糊测试策略、工具和实践,强调了在DeFi安全中综合运用两种方法的重要性。
模糊测试
智能合约
安全
无状态模糊测试
有状态模糊测试
DeFi
CoinsBench
发布于 2025-06-25
阅读 ( 247 )
( 21 )
Web3 从业者旅行时的安全指南
本文是由 SEAL (Security Alliance) 发布的关于旅行安全框架的工作草案,旨在为开发者、安全专家和其他 Web3 从业者提供旅行时的安全建议。内容涵盖旅行前、旅行中和返回后的安全措施,以及针对高风险人群的额外保护措施,包括设备加密、网络安全、物理安全和应对边境检查的策略,以最大限度地减少数据泄露和潜在威胁。
安全
旅行安全
加密
网络安全
物理安全
Web3
The Red Guild
发布于 2025-06-25
阅读 ( 945 )
( 31 )
什么是即时加密货币交易所,以及它们为何会成为洗钱的热点?
本文分析了即时加密货币交易所(ICEs)的工作原理,揭示了其在便利用户进行跨链资产交换的同时,如何被用于洗钱等非法活动。研究团队提出了一种基于启发式的匹配算法,用于追踪通过ICEs转移的非法资金,并发现大量非法资金通过ICEs流入中心化交易所,呼吁对ICEs进行更合理的监管。
即时加密货币交易所
ICE
洗钱
资金追踪
AML
区块链安全
blocksecteam
发布于 2025-06-25
阅读 ( 697 )
( 60 )
BlockThreat 2025年第25周周报
本周重点关注了加密货币领域中的安全事件,包括伊朗交易所Nobitex被亲以色列组织攻击,CoinMarketCap和Cointelegraph遭受网络钓鱼攻击,以及多个DeFi项目遭受的攻击和漏洞。文章还讨论了社区内部的争端和信任问题,以及各种恶意软件和诈骗活动。
加密货币
安全漏洞
网络钓鱼
DeFi
恶意软件
诈骗
BlockThreat
发布于 2025-06-25
阅读 ( 334 )
( 14 )
‹
1
2
3
4
5
6
7
8
...
56
57
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
speculative investing
orderbook
Oyster AMM
WorldID
Liquid Restaking Tokens
ICQ
证券法律
比特币资产
市场文化
Drip
新手教学
HackerHouse
分布式自动化市场制造商
Lazybridging
OZ
Governance Tokens
通用消息传递
risk/reward
DiamondBeaconProxy 模式
治理调整时间因子
价格波动
Clones
Liquidity Pools
Token解锁
选项交易
30天文章收益榜
»
寻月隐君
238 篇文章,540 学分
Tiny熊
191 篇文章,446 学分
ankitacode11
35 篇文章,436 学分
ImmuneBytes
38 篇文章,417 学分
pineanalytics
43 篇文章,382 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: