全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

隐藏的 IDL 指令及潜在的安全隐患

本文深入探讨了 Solana Anchor 框架中隐藏的 IDL(接口描述语言)指令及其潜在的安全风险。
Solana  Anchor  IDL  安全漏洞  类型混淆  智能合约 

币界独家链上安全指南,深度解读合法协议如何沦为诈骗工具?

诈骗者的“工具箱”:三种利用协议的常见骗局区块链协议的设计初衷是为了确保交易的安全和自动化,但诈骗者恰恰利用了这些合法机制,结合用户的认知盲区,制造了多种难以察觉的攻击方式。1.恶意智能合约授权这是DeFi领域最常见的骗局之一。其原理在于利用ERC-20代币标准中的“Approve”授权功

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 723 )
  • ( 14 )

安全 - Fiamma Bridge审计

该文章是OpenZeppelin对Fiamma Bridge的BitVMBridge合约进行的安全审计报告。报告总结了审计过程中发现的1个高危漏洞以及多个中低危问题,包括潜在的wrapped BTC损失、未经验证的参数、代码可读性问题等。所有发现的问题均已在后续的PR中得到解决。文章最后强调了加强链上验证、增加测试覆盖率的重要性。
智能合约  安全审计  比特币桥  漏洞  BitVM  以太坊 

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 1009 )
  • ( 18 )

【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元

2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击  钓鱼攻击  web3安全 

慢雾月度安全报告:7月损失估计达1.47亿美元

2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全  智能合约漏洞  交易所攻击  钓鱼攻击  供应链攻击  区块链安全 
  • slowmist
  • 发布于 2025-08-02
  • 阅读 ( 602 )
  • ( 19 )

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全 

智能合约安全第六部分:保护以太坊智能合约免受矿工操纵

本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵  Chainlink VRF  智能合约安全  以太坊  随机数生成  Commit-Reveal机制 

【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发

OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin  Contracts MCP  智能合约  AI  Solidity  Cairo  Stylus  Stellar 

零时科技 || RareStaking 攻击事件分析

我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击  web3攻击  区块链安全 

Rebase 类型代币局限性:舍入误差与拒绝服务攻击问题

本文深入探讨了Rebase代币的漏洞与局限性,分析了由于Solidity语言特性以及EVM的限制,在智能合约中可能出现的舍入误差问题,并探讨了针对智能合约的拒绝服务(DoS)攻击及其防范措施。文章还强调了开发者和审计人员在Web3安全中的作用。
Rebase代币  舍入误差  拒绝服务攻击  智能合约  Solidity  EVM 

使用 Halmos 进行现代不变性测试

本文介绍了使用 Halmos 工具进行智能合约状态不变性测试的演变过程。首先通过在无状态测试中模拟状态变化来实现,然后利用 Halmos 提供的 cheatcode 简化了测试代码,并加入了快照状态的机制以优化性能。最后展示了 Halmos v0.3.0 版本如何原生支持状态不变性测试,极大地简化了测试流程,并提供了升级和使用 Halmos 的方法。
智能合约  形式化验证  不变性测试  Halmos  SMT solving  状态空间探索 

Crown BRL 稳定币审计

这是一篇OpenZeppelin对 crown-xyz 项目的 BRL 稳定币智能合约代码的审计报告。该报告评估了 BRLV, BRLY, YieldStripping, wBRLY 等合约,发现了一些低风险问题和建议,例如代码注释错误、缺少文档字符串、命名规范问题、未使用变量和多余的import。审计未发现任何严重或高风险漏洞。
智能合约审计  OpenZeppelin  BRL稳定币  Solidity  安全漏洞  代码质量  重构代币 

BlockThreat 周报 - 2025年第30周

本周发生了三起安全事件,损失超过 1500 万美元,其中大部分损失来自 Woo X 交易所被攻击。对Roman Storm的Tornado Cash审判由于错误的区块链追踪和对去中心化智能合约的误解而陷入困境。文章还列举了近期发生的安全事件、网络犯罪、钓鱼攻击、诈骗以及恶意软件等,并推荐了一些安全工具。
安全漏洞  智能合约  区块链安全  交易所攻击  网络钓鱼  恶意软件 

为什么 Keystone 要实现 Shamir 备份

本文介绍了 Keystone 硬件签名器实现的 SLIP39 Shamir 备份标准,该标准允许将种子词分割成多个片段,并设定阈值,只有达到阈值数量的片段才能恢复钱包。文章讨论了Shamir备份的优点、缺点,以及使用建议,例如,提醒用户在转入大量比特币之前先进行练习,并定期执行安全检查。
Shamir 备份  SLIP39  种子词  KeyStone  硬件签名器  私钥分割 
  • BTCStudy
  • 发布于 2025-07-26
  • 阅读 ( 798 )
  • ( 6 )

去中心化物理基础设施网络(DePIN)安全最佳实践

本文讨论了去中心化物理基础设施网络(DePIN)的安全最佳实践。DePIN 将物理服务与区块链基础设施相结合,面临智能合约漏洞以外的独特攻击面,包括编排系统、物理设备、治理过程和行为激励。文章提出了一个全面的安全模型,涵盖 DePIN 协议的整个生命周期,强调风险评估、对抗性建模和跨层可见性。
DePIN  安全模型  智能合约  风险评估  物理基础设施  安全 
  • cantina
  • 发布于 2025-07-25
  • 阅读 ( 984 )
  • ( 30 )

Anchor 框架中 Init 和 Init if needed 的安全性含义

本文深入探讨了 Anchor 框架中 `init` 和 `init_if_needed` 约束的工作原理,重点分析了 `init_if_needed` 可能导致的重初始化攻击风险。文章详细解释了攻击者如何通过使账户未初始化(例如,通过耗尽 lamports 或更改所有权)来强制重新初始化,并提供了避免此类漏洞的安全实践建议,强调在关键状态账户上应优先使用 `init`。
Anchor框架  重初始化攻击  INIT  init_if_needed  Solana  智能合约 

威胁情报:恶意Solana开源交易机器人分析

该文章分析了一个恶意Solana开源交易机器人的威胁情报。攻击者通过伪装成合法的开源项目,诱使用户执行恶意代码,该代码会窃取存储在本地.env文件中的私钥,并将其传输到攻击者控制的服务器。文章通过静态分析和动态分析,揭示了攻击的原理、恶意代码的位置,并给出了安全建议。
Solana  恶意机器人  私钥泄露  威胁情报  开源项目  社会工程 
  • slowmist
  • 发布于 2025-07-23
  • 阅读 ( 934 )
  • ( 29 )