全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

GMX攻击分析&基于Wake的攻击场景复现

该分析详细介绍了GMX协议遭受的4200万美元攻击事件,攻击源于跨合约重入漏洞,该漏洞绕过了增加仓位时的访问控制。攻击者利用此漏洞操纵GLP代币价格,使其价格升高,从而以操纵后的价格赎回代币,并从协议中提取利润。文章还提供了一个可重现攻击场景的工作示例,用于教育目的。
GMX  重入漏洞  GLP代币  价格操纵  智能合约  跨合约调用 
  • Ackee
  • 发布于 2025-07-23
  • 阅读 ( 483 )
  • ( 4 )

2025年如何实施有效的MEV保护

本文讨论了2025年区块链生态系统中最大可提取价值(MEV)的管理和保护。文章分析了MEV是什么,以及它如何影响区块链的公平性和效率,深入探讨了各种MEV提取策略,如套利、三明治攻击、清算和JIT流动性,并提供了MEV检测的代码示例。此外,还介绍了高级MEV保护实施方法。
最大可提取价值  MEV  三明治攻击  抢跑交易  闪电机器人  区块链 

1inch协议手续费审计

该文档是OpenZeppelin对1inch Fusion和Limit Order Protocols的代码审计报告。
智能合约审计  Solidity  OpenZeppelin  1inch  手续费  荷兰拍 

可升级智能合约系列:第二部分 - 顶级智能合约漏洞与真实世界的攻击

本文探讨了可升级智能合约中存在的关键风险,包括未初始化的代理、存储冲突和恶意升级。通过分析Wormhole、Parity Multisig Wallet、AllianceBlock和Audius Governance等真实案例,强调了在升级过程中可能出现的安全漏洞以及由此可能造成的严重后果,并为开发者提供了避免这些常见陷阱的建议。
可升级合约  智能合约  代理模式  存储冲突  安全漏洞  以太坊 

签名陷阱:为何Web3中的钱包用户体验正在让用户失望

本文深入探讨了一种名为“钱包欺骗”的网络钓鱼攻击,攻击者通过欺骗用户签署恶意消息或交易来盗取用户资产。文章分析了这种攻击方式的原理,即利用用户对钱包签名机制的不了解和Web3交互中存在的UX设计缺陷,并通过实际案例展示了这种攻击的危害性。最后,文章强调,要解决这个问题,需要改进钱包的用户体验,例如提供更清晰的消息解读、行为警告和风险提示,以帮助用户更好地理解签名内容的含义和潜在风险。
钱包欺骗  签名  MetaMask  EIP-712  用户体验  网络钓鱼 

Blockthreat 周报 - 2025年第29周

本周安全事件频发,多个交易所遭遇热钱包攻击,损失惨重。攻击者并非直接攻击私钥,而是控制了管理私钥的基础设施。此外,Tornado Cash 案件的审判正在进行中,涉及 NFT rug pull 的洗钱行为。同时,针对加密货币领域的恶意活动日益猖獗,包括网络钓鱼、恶意软件攻击等。
加密货币  安全漏洞  攻击事件  Tornado Cash  网络钓鱼  恶意软件 

如何安全地质押加密货币?

本文深入探讨了加密货币质押的安全策略,强调了在数字经济中保护资产的重要性。内容覆盖了选择安全钱包、评估验证者、平台安全评估、风险管理及未来安全规划,旨在帮助投资者成为更智能、更安全的质押者,从而在迅速发展的质押领域长期受益。
加密货币质押  安全策略  硬件钱包  验证者选择  风险管理  流动性质押 
  • DAIC
  • 发布于 2025-07-21
  • 阅读 ( 348 )
  • ( 3 )

加密内存池的局限性

本文探讨了使用加密内存池来解决区块链最大可提取价值(MEV)问题的挑战与局限性。文章分析了加密内存池的几种设计方案,包括使用可信执行环境(TEE)、密钥共享和延迟加密等技术,并深入研究了这些方案在技术、经济和效率方面所面临的挑战,例如元数据泄露、激励解密和价格不确定性等问题。最后,文章提出混合设计可能是MEV解决方案的一部分。
MEV  加密内存池  矿工可提取价值  密码学  区块链安全  交易排序 

追踪冻结:USDT黑名单及其与恐怖主义关联的链上分析

该报告分析了USDT黑名单模式及其与恐怖主义融资的联系,揭示了洗钱循环、跨链流动和执法延迟。分析发现,大量被冻结的USDT地址与恐怖主义融资有关,且交易所如币安和OKX在资金流动中扮演关键角色。
USDT  黑名单  恐怖主义融资  洗钱  区块链  交易所 

OpenZeppelin Uniswap Hooks v1.1.0 RC 2 审计报告

本文是对 OpenZeppelin 开发的 Uniswap V4 hooks 代码的审计报告,重点关注 AntiSandwichHook、LiquidityPenaltyHook 和 LimitOrderHook 三个合约,旨在增强 Uniswap V4 流动性池的功能性和安全性。
uniswap v4  Hooks  AntiSandwichHook  LiquidityPenaltyHook  LimitOrderHook  代码审计  智能合约安全 

OpenZeppelin Uniswap Hooks v1.1.0 RC 1 审计报告

本次审计报告详细分析了一组定制的Uniswap V4 hooks,包括AntiSandwichHook(防三明治攻击)、LiquidityPenaltyHook(流动性惩罚)和LimitOrderHook(限价订单)。 审计发现多个高危和严重漏洞,主要与Uniswap V4的内部机制有关。建议Uniswap团队修复这些漏洞,并对修复后的代码库进行新一轮的审计。
uniswap v4  Hooks  AntiSandwichHook  LiquidityPenaltyHook  LimitOrderHook  安全审计 

BlockThreat - 2025年第28周

本周,超过 4600 万美元的资金在七起事件中被盗。
ERC1967Proxy  EVM 链  白帽  漏洞  智能合约  代理合约 

Solana 生态系统中的供应链攻击

本文深入探讨了Solana生态系统中的供应链攻击,重点分析了攻击者如何通过恶意修改离线签名工具、NPM包等方式窃取私钥,并提出了一系列针对性的防御措施,包括锁定依赖版本、使用JFrog Xray扫描代码、加强CI/CD环境监控等,旨在帮助Solana开发者构建更安全的开发工作流。
Solana  供应链攻击  私钥  签名工具  依赖管理  安全审计  JFrog Xray 

区块链取证:追踪被盗资金实用指南

本文是一篇关于区块链取证的实用指南,详细介绍了如何追踪被盗资金。文章从理解威胁形势开始,深入探讨了区块链取证的调查方法、面临的挑战以及分析被盗资金和洗钱方法,为区块链调查人员提供了全面的技术和方法指导,旨在提升他们追踪和防范加密货币犯罪的能力。
区块链取证  链上分析  洗钱  被盗资金  交易追踪  威胁情报 

uniswap2进阶解读

本文将从以下几个角度对uniswap2进行进阶讲解EIP712签名permit函数是用来验证签名是否是传入地址发出的。具体的手续费feeto的手续费用户借贷uniswap2的手续费(X-0.003Xin)*(Y-0.003Yin)>=X.Y流动性token在市场中的价值举个例子,现有
uniswap2 
  • oo
  • 发布于 2025-07-16
  • 阅读 ( 684 )
  • ( 21 )

CPIMP 攻击:一种影响极其深远的漏洞,已成功缓解

CPIMP 攻击是一种复杂的中间人攻击,攻击者通过抢跑交易篡改代理合约的实现,使恶意代码透明地存在于多个DeFi协议中。该攻击通过各种技术手段隐藏自身,包括欺骗区块链浏览器,并具备持久控制、灵活路由和规避检测的能力,对多个区块链上的知名协议构成威胁。在各方合作下,大部分潜在损失已成功避免。
CPIMP攻击  代理合约  前置交易  EIP-1967  以太坊  DeFi安全 
  • Dedaub
  • 发布于 2025-07-16
  • 阅读 ( 1312 )
  • ( 120 )

Web3前端攻击:黑客的新乐园

文章主要讨论了Web3安全中容易被忽视的Frontend安全问题,指出尽管智能合约安全性受到广泛关注,但Frontend作为用户与区块链交互的第一层,其安全风险日益突出。
web3安全  Frontend安全  智能合约  DNS劫持  恶意脚本  交易安全 

BlockThreat - 2025年第27周周报

本周,超过550万美元在三个协议中被盗,攻击手段包括价格预言机操纵和私钥盗窃。 一项针对休眠的2011年比特币钱包的链上活动被发现,该活动利用OP_RETURN交易发送法律声明,并链接到收集敏感钱包数据的在线表格。此外,还讨论了Web3安全公司Oak Security提供的审计、渗透测试等服务。
比特币  安全漏洞  网络钓鱼  恶意软件  智能合约  加密货币 

Stellar合约库v0.3.0-rc.2审计

OpenZeppelin 对 Stellar Contracts Library v0.3.0-rc.3 版本进行了安全审计,发现了包括严重、高、中、低风险在内的37个问题,该版本引入了架构增强、新功能和扩展的开发者实用程序,特别是通证模块的重构和基于角色的访问控制机制。审计报告强调了潜在的安全风险,并提出了改进建议。
智能合约  安全审计  Stellar  OpenZeppelin  访问控制  通证 

Cloudflare:伟大的AI爬虫防御者

文章讨论了Cloudflare如何帮助网站过滤恶意流量和AI爬虫,特别是那些用于训练机器学习模型的爬虫。Cloudflare推出一项新服务,要求AI公司为抓取网站内容付费。文章还提到了作者使用robots.txt文件来阻止某些爬虫,并使用Cloudflare的工具来阻止不希望的AI爬虫访问其网站。
Cloudflare  WAF  AI爬虫  Web应用防火墙  robots.txt