全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

BlockThreat - 2025年第24周

该文章是BlockThreat发布的一篇安全周报,内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外,还包括一些研究论文、安全工具以及媒体报道,例如Bitrue被攻击事件,以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。
安全漏洞  网络钓鱼  加密货币犯罪  恶意软件  智能合约安全  供应链安全 

Foundry高级作弊码系列:第三部分 - 断言作弊码

in  Foundry 高级作弊码系列
本文是Foundry cheatcodes系列文章的第三部分,主要介绍了 Foundry 中的断言作弊码,包括 vm.expectRevert(用于测试必须抛出的情况)、vm.expectEmit(用于验证事件和topic)和 vm.expectCall(用于断言外部交互)。
Foundry  cheatcodes  智能合约  测试  断言  vm.expectRevert  vm.expectEmit  vm.expectCall 

网络安全新纪元:欢迎来到量子稳健云

文章主要介绍了AWS KMS云服务开始支持Post-Quantum Cryptography (PQC) 的签名算法,特别是ML-DSA。作者分享了在AWS上使用ML-DSA签名密钥的实践过程,包括如何创建、配置以及通过AWS CLI进行操作。最后,作者表达了对PQC技术在云安全领域应用的乐观态度,并展望了未来基于格和哈希签名的新型数字信任体系。
Post-Quantum Cryptography  PQC  ML-DSA  AWS KMS  云安全  密钥管理 

访问控制 - OpenZeppelin 文档

本文档介绍了智能合约中访问控制的重要性,并详细讲解了OpenZeppelin提供的Ownable和AccessControl组件来实现不同级别的访问控制。Ownable适用于简单的所有权管理,而AccessControl则通过角色定义,提供更灵活的权限控制。此外,还介绍了使用TimelockController实现延迟操作,以防止恶意管理员行为,保护用户利益。
访问控制  ownable  AccessControl  角色  TimelockController  权限管理 

Foundry 高级作弊码系列:第二部分 - 作弊码 vm.prank,模拟调用

in  Foundry 高级作弊码系列
本文介绍了 Foundry 的一个非常有用的 Cheatcode:vm.prank,它允许开发者在测试中模拟任何地址作为 `msg.sender`,从而方便地测试访问控制和各种边界情况。
Foundry  vm.prank  msg.sender  智能合约  安全测试  cheatcode 

🕵️ 智能合约猎手的剧本:克隆、分析、利用

本文介绍了使用 Foundry 和 AI 工具进行智能合约漏洞挖掘的三步流程:克隆链上合约,使用 Cursor 进行 AI 辅助代码分析,以及构建 Mainnet Fork PoC 验证漏洞。文章详细阐述了每个步骤中使用的工具和技术,并提供了实际案例和最佳实践,适用于希望提升智能合约安全研究技能的开发者和安全研究人员。
智能合约  漏洞挖掘  Foundry  AI  安全  区块链 

Web3 安全入门:常见的硬件钱包陷阱

本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
硬件钱包  安全  钓鱼攻击  中间人攻击  恢复短语  加密资产 
  • slowmist
  • 发布于 2025-06-18
  • 阅读 ( 463 )
  • ( 25 )

零知识虚拟机(zkVM)简介

本文是零知识虚拟机(zkVM)安全系列的第一篇文章,主要介绍了zkVM的基本概念、工作原理及其在可验证计算中的作用。文章还简要介绍了zkEVM及其在区块链中的应用,并概述了该系列后续文章的主题,旨在为零知识领域的研究人员和zkVM开发者提供有用的安全指导。
零知识证明  虚拟机  zkVM  zkEVM  可验证计算  RISC Zero 
  • Veridise
  • 发布于 2025-06-18
  • 阅读 ( 730 )
  • ( 27 )

Code4rena 将免费举办审计竞赛

Code4rena 将对其所有的审计竞赛免除平台费用,致力于提高整个加密行业的安全性。竞赛平台应作为公共产品存在,而非寻求租金的业务。Zellic 通过传统的私有审计盈利,并将 Code4rena 视为人才管道,持续投资于平台和社区。
  • zellic
  • 发布于 2025-06-18
  • 阅读 ( 184 )

如何编写一份全面的审计报告:来自实战的经验——ImmuneBytes

本文主要讨论了智能合约审计报告的重要性以及如何编写高质量的审计报告。强调了审计报告不仅要列出漏洞,还要讲述系统如何工作、在哪里出现问题以及如何修复。文章还分享了编写审计报告的实用经验,包括报告的结构、内容要点以及如何清晰地表达技术细节。
智能合约  审计报告  漏洞  安全  代码质量  最佳实践 

签名者配置 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Relayer中用于交易签名的signers配置,包括支持的signer类型(local, vault, vault_cloud, vault_transit, turnkey, google_cloud_kms, aws_kms),配置结构,以及它们在不同网络(EVM, Solana, Stellar)的兼容性,并提供了各种signer类型的详细配置示例和安全最佳实践。
OpenZeppelin Relayer  签名者  密钥管理  HashiCorp Vault  Google Cloud KMS  AWS KMS  Turnkey  密钥存储  交易签名 

如何无痛进行链上大额转账

本文探讨了链上大额转账存在的痛点,以及一些解决思路
区块链  钱包  CEX 
  • 卡卡
  • 发布于 2025-06-15
  • 阅读 ( 644 )
  • ( 15 )

AI网络钓鱼系列:第六部分 - 法律护栏、量子深度伪造和Web3集体防御

AI技术正在以超乎法律的速度重塑加密货币诈骗,文章探讨了AI网络钓鱼如何重塑加密货币和Web3的监管、责任和集体防御。随着Web3应用拥抱AI工具,传统的诈骗也变得更加“自治”,文章呼吁业界通过法律、技术和协作护栏,在政策和保护隐私的防御创新方面赶上AI诈骗的步伐,以确保生态系统的安全。
AI  网络钓鱼  Web3  MiCA  智能合约  量子计算 

2025 硬件钱包评测 - 第二篇

作者评测了四款加密货币硬件钱包:SafePal S1 Pro、BitBox02、Burner 和 NGRAVE Zero。作者主要关注钱包的安全性、是否开源以及交易数据的可验证性。BitBox02 在显示签名数据和开源方面表现较好,作者推荐安全研究人员使用,但没有一款钱包能完美保护用户免受攻击。
硬件钱包  加密货币  安全  交易签名  开源  EIP-712  Calldata 

自主网络钓鱼的防护:政策、隐私和下一代防御 - 第六部分

AI技术正在快速改变加密货币诈骗的形式,法律的制定速度已经无法跟上。本文探讨了AI诈骗带来的法律挑战,以及Web3防御者如何通过技术创新来应对。同时,也讨论了行业如何通过共享标准和合作联盟来构建安全防线,包括企业以太坊联盟、Web3安全联盟等。
AI欺诈  智能合约  web3安全  联邦学习  多智能体攻击  隐私保护 

BASE Commerce Payments 协议的安全性分析

该文档是关于BASE Commerce Payments协议的安全性分析。内容包括安全审计报告的列表,协议如何通过密码学签名、哈希、时间锁等机制来保证支付安全,以及针对潜在风险(如操作员被攻击、恶意Token收集器、因黑名单导致的拒绝服务)的缓解措施。协议设计目标是最小化对任何单一实体的信任,同时最大化对所有参与者的保护。
安全审计  协议安全  操作员  TokenStore  支付安全  风险缓解 
  • base__
  • 发布于 2025-06-13
  • 阅读 ( 390 )
  • ( 5 )

智能合约安全中的自定义模糊测试

本文介绍了智能合约安全中自定义模糊测试的重要性,强调了Spearbit将模糊测试自动化与专家驱动的手动审查相结合的方法,以应对传统模糊测试工具的局限性。文章深入探讨了模糊测试的工作原理、不同类型(如基于突变、基于生成、智能与笨拙型模糊器),并通过实际案例展示了Spearbit如何利用差分模糊测试揭示跨实现语义不一致性,从而提高智能合约的安全性。
模糊测试  智能合约  安全  Spearbit  差分模糊测试  漏洞 
  • cantina
  • 发布于 2025-06-12
  • 阅读 ( 1675 )
  • ( 131 )

安全时光机:2025年5月至6月区块链黑客报告 – ImmuneBytes

本文分析了2025年5月至6月期间发生的多起区块链安全事件,包括Cetus Protocol、Alex Protocol、Cork Protocol和Mobius DAO等项目遭受的攻击,并探讨了ImmuneBytes如何通过其安全策略来预防这些漏洞,强调了安全审计和验证的重要性。
区块链安全  智能合约审计  漏洞  攻击  安全策略  形式化验证 

AI 钓鱼系列:第五部分 - 实时防御、GNN 检测和 Web3 威胁情报

本文讨论了如何实时防御Web3攻击,包括利用流分析、大型语言模型(LLM)和图神经网络(GNN)更快地发现诈骗,以及如何通过威胁情报共享来降低跨链风险。文章阐述了构建链上安全分析、使用LLM辅助分类、利用GNN处理EVM数据以及社区威胁情报共享的具体方法。
web3安全  流分析  LLM  图神经网络  威胁情报  链上安全 

智能合约审计介绍 - ImmuneBytes

本文深入探讨了智能合约审计的重要性,它能发现智能合约中隐藏的安全漏洞和错误。文章详细介绍了智能合约审计的定义、流程(包括需求收集、单元测试、代码分析、手动代码审查和报告生成)、成本以及进行审计的必要性和好处,强调了审计在保护用户资金、提升项目可信度方面的重要作用。
智能合约  审计  安全漏洞  代码审查  区块链  DeFi