全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

你可能用错了 WebView:移动开发者常见的安全隐患

本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView  安全漏洞  加密货币钱包  用户界面攻击  来源欺骗  消息拦截 
  • zellic
  • 发布于 2025-08-22
  • 阅读 ( 1962 )
  • ( 76 )

Coinbase 2025 年 5 月事件中的运营安全教训

Coinbase 遭受了一起数据泄露事件,起因是不良行为者收买海外客服人员出售客户数据,攻击者利用获取的信息进行进一步的社会工程攻击。文章强调了零信任架构的重要性,以及数据分类和权限管理在保护敏感数据方面的作用。Web3 技术需要采用更严格的安全措施,才能吸引传统机构和主流投资者。
数据泄露  社会工程攻击  零信任架构  数据分类  权限管理  Web3 安全 
  • Certora
  • 发布于 2025-08-21
  • 阅读 ( 738 )

Echidna 验证与探索模式:利用 hevm 增强的符号执行

Echidna 通过集成 hevm 增强的符号执行能力,引入了两种新模式:验证模式(用于无状态测试,旨在证明不存在错误)和探索模式(结合符号执行与模糊测试,用于识别状态变化中的断言失败)。文章通过实例展示了这两种模式的应用,并讨论了符号执行的局限性以及未来的改进方向,例如改进用户界面、自动提取参数边界和建立基准测试。
Echidna  符号执行  模糊测试  hevm  智能合约安全  形式验证 

加密货币操作安全指南第一部分:私钥安全与网络钓鱼防御

本文深入探讨了加密货币领域的操作安全(OpSec),强调了保护私钥和防范网络钓鱼及社会工程攻击的重要性。文章详细介绍了硬件钱包、多重签名、离线存储等多种安全措施,并提供了应对潜在风险的实用建议,旨在帮助加密货币用户建立强大的安全防线,避免因疏忽而遭受损失。
私钥  硬件钱包  多重签名  网络钓鱼  社会工程  操作安全 

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤

本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明  Rollup  安全性  完备性  有效性  OP Stack 

Certora竞赛报告:Blend v2

本文是Certora对Blend v2智能合约进行的形式化验证竞赛报告,通过引入代码突变来评估参赛者提交的规范质量。报告列出了被参赛者成功捕获的突变示例,展示了高质量的属性,并提供了竞赛结果和相关资源链接。
形式化验证  Certora Prover  智能合约  突变测试  Blend v2  安全审计 

不变性测试训练营

本文介绍了通过一个由四个部分组成的自定进度的书面教程,从零开始学习不变性测试,并最终能够使用不变性测试在生产系统中发现错误。教程涵盖了如何使用Recon扩展搭建不变性测试套件、创建简化的系统部署、实现对感兴趣合约的全面覆盖、使用Foundry等工具实现属性测试、调试损坏的属性以及使用Echidna的优化模式。
不变性测试  Foundry  Echidna  Medusa  Halmos  Kontrol  Recon 
  • Recon
  • 发布于 2025-08-14
  • 阅读 ( 699 )
  • ( 2 )

传统金融许可型资本市场智能合约协议中的漏洞

本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约  漏洞  权限控制  合规性  真实世界资产  RWA  DeFi 
  • Cyfrin
  • 发布于 2025-08-12
  • 阅读 ( 1165 )
  • ( 12 )

Lido预言机被黑,为何资金安然无恙?揭秘让人安心的去中心化钱包背后的设计哲学

职责分离:预言机是信使,而非金库管家要理解Lido为何能在攻击中幸免于难,首先必须厘清其预言机的真正职责。在许多人的误解中,“预言机”似乎是一个掌握着协议命脉的关键组件。然而,在Lido的架构中,预言机的功能被严格地限制和分离。Lido的预言机,本质上是一个分布式的“信息汇报系统”。它由9个独

Certora验证器8.1.0版本发布,包含新功能和重大变更

Certora Prover v8.1.0 版本发布,引入了多项重大变更,包括最低 Java 和 Python 版本要求提升、默认启用健全性检查、requireInvariant 语义更新、Solana 和 Soroban 验证需使用专用命令、默认报告链接改为私有、CVL 函数支持 revert 处理等。
形式化验证  Certora Prover  breaking changes  Solana  Soroban  CVL 
  • Certora
  • 发布于 2025-08-12
  • 阅读 ( 777 )
  • ( 9 )

Fiducia - 为你的 Safe 提供细粒度控制和协同签名人

Fiducia 是 Safe Guard 的一个强大功能,它允许用户对 Safe 的交互对象、行为和时间进行细粒度的链上控制,并提供可选的 cosigner 支持,用于验证敏感操作。Fiducia 具有事务允许列表和阻止列表、Cosigner 支持、Token传输限制和防护移除保护等功能,适用于需要精确控制交易活动的用户。
Safe Guard  Fiducia  Cosigner  多重签名  链上安全  交易控制 

BlockThreat - 2025年第31周周报

本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞  安全审计  加密货币  黑客攻击  信息安全  多链 

隐藏的 IDL 指令及潜在的安全隐患

本文深入探讨了 Solana Anchor 框架中隐藏的 IDL(接口描述语言)指令及其潜在的安全风险。
Solana  Anchor  IDL  安全漏洞  类型混淆  智能合约 

币界独家链上安全指南,深度解读合法协议如何沦为诈骗工具?

诈骗者的“工具箱”:三种利用协议的常见骗局区块链协议的设计初衷是为了确保交易的安全和自动化,但诈骗者恰恰利用了这些合法机制,结合用户的认知盲区,制造了多种难以察觉的攻击方式。1.恶意智能合约授权这是DeFi领域最常见的骗局之一。其原理在于利用ERC-20代币标准中的“Approve”授权功

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 978 )
  • ( 14 )