全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

你应该使用哪个模糊测试器?

文章作者创建了一个流程图,用于指导读者选择合适的模糊测试工具。作者推荐针对有状态模糊测试,默认使用Echidna和Medusa;针对无状态模糊测试,选择Foundry。同时还讨论了Slither在模糊测试中的作用,以及ffi和链上模糊测试的工具选择。
模糊测试  Echidna  Medusa  Foundry  Slither  智能合约安全 

苹果公司在安全方面退步

文章讨论了苹果公司在英国政府的压力下,放弃为英国用户提供高级数据保护(Advanced Data Protection)服务,该服务旨在通过加密保护用户存储在iCloud上的数据,使其无法被苹果公司访问。文章回顾了密码学的发展历程,强调了端到端加密的重要性,并表达了对苹果公司在隐私保护方面退步的失望,以及对未来更灵活的公司提供增强安全性和隐私保护的期望。
端到端加密  数据保护  密码学  隐私  苹果  iCloud 

以Trail of Bits方式进行威胁建模

本文介绍了TRAIL,一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响,通过识别架构层面的风险并提供短期和长期缓解方案,使客户能够随着系统变化自主更新威胁模型,同时还阐述了TRAIL的工作原理,以及轻量级和综合性威胁模型的产出。
威胁建模  风险分析  TRAIL  安全控制  威胁场景  安全审查 

Bybit 近 15 亿美金被盗真相 :Safe{Wallet} 前端代码被篡改

Bybit 近 15 亿美金被盗真相 :Safe{Wallet} 前端代码被篡改
Bybit  Safe  多签钱包 

只读重入攻击

本文介绍了只读重入漏洞的原理、攻击方式和防御方法。该漏洞利用 view 函数在状态改变过程中的返回值,通过重入操纵智能合约并提取价值。文章通过示例合约展示了漏洞的利用方式,并提供了使用 ReentrancyGuard 和 CEI(checks-effects-interactions)模式的防御措施。
只读重入  重入攻击  智能合约安全  以太坊  ReentrancyGuard  CEI模式 
  • Ackee
  • 发布于 2025-02-28
  • 阅读 ( 643 )

Bitfinding - 告别盲签:Web3语义第二因素介绍

文章提出了Web3语义第二因素(SSF)的概念,旨在解决由于设备被入侵和硬件钱包的局限性导致的用户被欺骗签名的问题。SSF通过独立的设备对交易或消息进行二次验证,模拟执行并提供风险分析,确保用户的真实意图与签名内容一致,从而增强安全性,类似于2FA在密码安全中的作用。
Web3  语义第二因素  安全  硬件钱包  盲签名  交易模拟 

威胁建模如何能够避免 Bybit 15亿美元的黑客攻击

Bybit交易所遭受了15亿美元的重大黑客攻击,这并非由于智能合约或代码错误,而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用,并提出了改进安全控制的具体建议,如端点安全、交易验证流程、钱包配置和操作隔离。
威胁建模  操作安全  黑客攻击  多重签名  安全控制  区块链安全 

零时科技 || Bybit 攻击事件分析

我们监测到⼀笔涉及Bybit交易所的重⼤安全事件,转出401,346 ETH 、8,000 mETH、90,375 stETH和15,000 cmETH 价值约1.5 BillionUSD,共损失15亿美元。

Bybit黑客事件及其对多重签名钱包安全性的启示

Bybit黑客事件展示了无视操作安全的风险,攻击者利用硬件钱包的盲签名缺陷操控了智能合约,盗取了价值14.6亿美元的以太坊。尽管多重签名钱包在技术上能够提供更高的安全性,然而其有效性仍然依赖于用户的操作流程与习惯,强调了加强操作安全的重要性。
盲签名  多重签名  操作安全  以太坊  社交工程  黑客攻击 
  • Certora
  • 发布于 2025-02-24
  • 阅读 ( 1317 )
  • ( 8 )

15亿美元的Bybit被盗事件:运营安全失败的时代已经到来

Bybit交易所遭遇了15亿美元的加密货币盗窃,攻击者通过入侵多个签名者的设备,操纵钱包界面,并在签名者不知情的情况下收集了所需的签名。文章分析了这一事件,并将其与WazirX和Radiant Capital的攻击联系起来,指出攻击者不再利用智能合约漏洞,而是转向攻击交易所的运营安全,强调行业需要加强运营安全,实施隔离、验证和检测等措施,以应对日益复杂的威胁。
加密货币  交易所  安全  多重签名  运营安全  朝鲜 

Stellar合约库0.1.0审计

本文对OpenZeppelin的Stellar Contracts Library进行了审计,重点分析了其可用性和安全性,识别出若干高、中、低严重性的问题,并提出优化建议。审计结果显示,库在开发过程中的灵活性和安全性设计良好,适用于Stellar区块链上智能合约的开发。
审计  Stellar  智能合约  开放zeppelin  安全性  Rust 

Solana多重签名安全性

本文探讨了在Solana多重签名环境中,当部分签名者被攻击时,如何安全地进行交易签名。文章分析了Solana的两种签名方式:基于最近区块哈希的签名和基于持久nonce的签名,并提出了一种在允许签名者观察交易手续费支付者的前提下,通过等待区块哈希过期并观察链上交易来确保安全签名的流程。总结了在签名者无法完全信任的环境下,确保交易安全性的关键在于可观察性。
Solana  多重签名  安全  交易签名  区块哈希  Durable Nonce 
  • osecio
  • 发布于 2025-02-22
  • 阅读 ( 750 )

揭露并修复Aleo中的一个通胀漏洞 - ZKSECURITY

本文揭示了2024年11月在Aleo主网上发现的一个严重通胀漏洞的细节,该漏洞源于不安全的输入/输出提交方式,可能导致攻击者绕过最终确认逻辑,非法铸造代币。漏洞发现后,立即报告给Aleo团队并迅速修复,未发现实际利用。修复方案通过增加显式检查确保交易输入/输出数据类型的正确性。
Aleo  零知识证明  ZKP  漏洞  安全  通胀 

区块链安全常见的攻击分析——存储冲突漏洞(Storage Collision Vulnerability)【16】

1、存储冲突漏洞(StorageCollisionVulnerability)在代理合约模式中,代理合约和逻辑合约共享同一存储空间。当代理合约将调用委托给逻辑合约时,逻辑合约中的变量实际写入的是代理合约的存储槽位。如果代理合约和逻辑合约都在槽位0存储关键数据(例如代理合约存储实现地址,而逻
  • XUYU
  • 发布于 2025-02-18
  • 阅读 ( 1597 )
  • ( 43 )

隔离见证是如何彻底解决交易延展性攻击的

隔离见证是如何彻底解决交易延展性攻击的
隔离见证  延展性攻击 

zkLend黑客攻击的深入分析与EraLend黑客攻击的关联

本文分析了2025年2月zkLend平台遭受攻击事件的细节,攻击者利用闪电贷机制操纵了市场累积值并通过舍入错误进行了资产盗窃,导致近1000万美元的损失。文中提供了详尽的攻击步骤、根本原因以及改进建议,以加强区块链平台的安全性。
闪电贷  市场累积器  安全漏洞  资产盗窃  区块链攻击 
  • slowmist
  • 发布于 2025-02-15
  • 阅读 ( 946 )
  • ( 8 )

利用EIP-7702和不可撤销签名解锁链抽象EOA

文章探讨了不可撤销签名在链抽象中的重要性,特别是对于EOA和智能账户。智能账户允许密钥轮换,但会损害不可撤销签名。而Omni Account通过确保智能账户和智能EOA都能在同一系统下进行链抽象,从而解决了这些问题。EIP-7702下的智能EOA会受到损害,需要仔细处理以防止双重支付攻击。
不可撤销签名  链抽象  智能账户  智能EOA  EIP-7702  Omni Account 

恶意MEV漏洞是区块链应用的最大障碍

本文作者认为,区块链本应创建一个公平的金融系统,但现在却成了MEV机器人的乐园,这些机器人通过MEV漏洞悄无声息地从用户那里窃取了数十亿美元。文章介绍了MEV的工作原理,并讨论了行业解决方案的失败,最后提出了通过阈值加密的mempool系统来实现公平区块链系统的解决方案。
区块链  MEV  最大可提取价值  漏洞  加密  mempool 
  • shutter
  • 发布于 2025-02-13
  • 阅读 ( 213 )

基于 Recon 与 Medusa 构建不变量测试

本文介绍了使用Medusa和create-chimera-app工具进行智能合约的不变量测试方法。不变量测试是一种高级集成测试手段,通过生成随机调用序列来检查合约内的某些不变量是否保持。文章详细介绍了不变量测试的基本原理、Medusa工具的工作流程,以及如何使用create-chimera-app框架搭建测试脚手架,并通过案例演示如何利用这些工具解决智能合约中的漏洞。
不变量测试  Medusa  智能合约  模糊测试  Solidity  create-chimera-app 

不变性驱动开发的需求

本文介绍了不变性驱动开发(Invariant-Driven Development)在智能合约安全中的重要性。通过在软件开发生命周期的每个阶段嵌入不变性——必须始终保持的关键属性,从而显著提高智能合约的鲁棒性。文章阐述了不变性的定义、类型,以及如何在设计、实现、测试、验证和监控等阶段应用不变性驱动开发,以构建更安全的智能合约。
智能合约  不变性  安全  形式化验证  模糊测试  Invariant