全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计

文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。
Solana  Rust  智能合约  安全审计  漏洞  内存安全  Anchor  跨程序调用 

Uniswap V2 合约部署全攻略:Web3 实践指南

in  Web3
UniswapV2合约部署全攻略:Web3实践指南去中心化金融(DeFi)浪潮席卷全球,UniswapV2作为顶尖的自动化做市商(AMM)协议,是Web3开发的必学核心。本教程基于Solidity0.8.30,带你一步步在Hoodi测试网部署UniswapV2核心合约(
Web3  Uniswap  DeFi 

简单聊聊区块链预言机

什么是预言机?在区块链系统中,智能合约只能在链上运行,因此无法直接访问链外的数据,比如实时的市场价格或天气信息。预言机(也叫Oracle),就是为了解决这个问题而生的。预言机是一种将链外数据引入区块链的工具,能够将外部数据“喂”给智能合约,使得智能合约可以使用这些数据来触发或验证特定的条件。

🎯 有状态模糊测试与无状态模糊测试

本文深入探讨了无状态模糊测试和有状态模糊测试在智能合约安全中的作用。无状态模糊测试将每个测试案例视为独立事件,适用于快速发现输入验证和简单功能中的漏洞。有状态模糊测试则追踪系统状态,模拟真实攻击行为,擅长检测多步骤交互和状态依赖性漏洞,如重入攻击和经济漏洞。文章还介绍了混合模糊测试策略、工具和实践,强调了在DeFi安全中综合运用两种方法的重要性。
模糊测试  智能合约  安全  无状态模糊测试  有状态模糊测试  DeFi 

在Sidecar安全审查期间发现的EigenLayer实时漏洞

EigenLayer的sidecar奖励计算中发现了一个除零错误,该错误可能导致所有AVS和运营商的拒绝服务。根本原因是duration参数验证不足,允许零值从智能合约传播到SQL查询。通过在链上和sidecar中添加显式检查,该问题在被利用之前得到了修复。
EigenLayer  restaking  AVS  Sidecar  除零错误  拒绝服务  智能合约 

ZKsync Airbender:最快的开源 RISC-V zkVM

ZKsync 发布了 Airbender,这是一个高性能的通用 ZK 证明器,旨在满足互操作性、去中心化和可扩展性的实际需求。Airbender 是最快的开源 RISC-V zkVM,其性能优于其他领先系统,例如在单个 GPU 上证明以太坊区块的时间少于 35 秒,并通过利用 ZKsync OS,能够在大约 17 秒内证明平均以太坊区块的执行。
ZK证明  RISC-V  zkVM  Airbender  GPU  STARK 

Web3 从业者旅行时的安全指南

本文是由 SEAL (Security Alliance) 发布的关于旅行安全框架的工作草案,旨在为开发者、安全专家和其他 Web3 从业者提供旅行时的安全建议。内容涵盖旅行前、旅行中和返回后的安全措施,以及针对高风险人群的额外保护措施,包括设备加密、网络安全、物理安全和应对边境检查的策略,以最大限度地减少数据泄露和潜在威胁。
安全  旅行安全  加密  网络安全  物理安全  Web3 

从零开始:用 Rust 开发 Solana 链上 Token 元数据查询工具

in  Solana
从零开始:用Rust开发Solana链上Token元数据查询工具在Web3时代,Solana以其高性能和低成本成为区块链开发的热门选择。本文将带你通过Rust编程语言,结合Anchor框架,开发一个查询SPLToken2022元数据的实用工具。无论是初学者还是资深
Web3  Solana  Rust 

什么是BLS签名以及它们如何工作?

本文深入探讨了EigenLayer的AVS合约中BLS多重签名的实现。文章详细介绍了EigenLayer的AVS,回顾了BLS签名原理,并说明了如何在实践中使用BLS签名来解决实际问题,展示了BLS签名聚合和多重签名构建方法,并讨论了如何防范多重签名中存在的rogue-key攻击风险,以及EigenLayer如何解决这个挑战。此外,还提出了一种未来可能探索的替代方案。
BLS签名  多重签名  EigenLayer  AVS  rogue-key攻击  以太坊 
  • zellic
  • 发布于 2025-06-25
  • 阅读 ( 1322 )
  • ( 64 )

XION:无钱包L1链,Web3的未来之光

当前Web3生态面临多重挑战:复杂的钱包管理和助记词让新手望而却步,高昂的燃气费增加使用成本,跨链交互的碎片化导致用户体验割裂。这些问题严重阻碍了区块链的普及和主流采用。XION作为首个专为消费者设计的无钱包第一层(L1)区块链,通过链抽象(Chain Abstraction)技术,彻底解决了
XION  L1  区块链  链抽象 

什么是即时加密货币交易所,以及它们为何会成为洗钱的热点?

本文分析了即时加密货币交易所(ICEs)的工作原理,揭示了其在便利用户进行跨链资产交换的同时,如何被用于洗钱等非法活动。研究团队提出了一种基于启发式的匹配算法,用于追踪通过ICEs转移的非法资金,并发现大量非法资金通过ICEs流入中心化交易所,呼吁对ICEs进行更合理的监管。
即时加密货币交易所  ICE  洗钱  资金追踪  AML  区块链安全 

Move CTF Week2 Challenge 技术分析

概述MoveCTF共学营由HOH水分子社区联合Cyclens及Movebit共同推出。本期共学将于25年6月中旬正式开始,通过4周线上视频录播课程、有奖Task任务以及CTF挑战赛等多种方式,帮助大家快速了解Web3领域安全问题、提升在网络安全领域的实战能力。详细信息请参考:
Move  CTF挑战  HOH 
  • cuidaquan
  • 发布于 2025-06-25
  • 阅读 ( 1006 )
  • ( 40 )

以太坊区块证明

本文介绍了以太坊区块证明的过程,包括获取区块信息、将信息转换为prover可理解的格式(witness generation),以及运行prover。Prover可以在GPU或CPU上运行,文中提供了在GPU和CPU上运行prover的具体步骤和命令,以及验证最终证明的方法。
以太坊  区块证明  witness generation  GPU  CPU  prover 

Solana:lamport转账的隐藏危险

本文深入探讨了Solana中lamport转移的潜在危险,通过一个“King of the SOL”的智能合约游戏案例,揭示了rent-exemption、可写账户的lamport转移失败以及write-demotion等问题可能导致程序出错甚至瘫痪。文章强调了在Solana上转移lamport并非总是直接的,需要考虑多种runtime-specific的特殊情况。
Solana  lamport转移  rent-exemption  write-demotion  智能合约  可执行账户 
  • osecio
  • 发布于 2025-06-25
  • 阅读 ( 1132 )
  • ( 59 )

如何确保强制交易模拟执行与真实执行的一致性

文章讨论了在区块链交易中模拟执行与实际执行之间状态差异的问题。提出了一种通过在交易中附加状态约束来解决此问题的方法,这些约束在交易执行前进行检查,确保交易在符合预期状态的条件下进行,从而提高交易的安全性和可靠性。文章还探讨了EIP-7702等以太坊改进提案如何为此方法提供更好的用户体验和效率
交易模拟  状态约束  EIP-7702  智能合约  区块链安全  状态发散 

BOLT12:支付协商协议与新的发票标准

本文介绍了BOLT12协议,它是闪电网络基础协议的最新规范,旨在解决闪电网络中稳定身份标识问题,并提升隐私性。BOLT12借鉴了LNURL的思路,但通过闪电网络本身的特性来实现,减少了对互联网服务器的依赖,并引入了洋葱消息、盲化路径等新功能,从而实现订阅、捐赠、按量预付等更多支付场景。
BOLT12  闪电网络  LNURL  洋葱消息  盲化路径  支付发票 

快速入门指南 - OpenZeppelin 文档

本文档是OpenZeppelin Monitor的快速入门指南,介绍了如何设置和使用OpenZeppelin Monitor来监控区块链事件和交易,包括EVM和Stellar网络。通过自动化或手动方式设置Monitor,配置监控USDC transfer和Stellar DEX swap,并设置Slack和Email的通知。
OpenZeppelin Monitor  区块链监控  EVM  Stellar  USDC transfer  DEX swap  Slack  Email 

顶级智能合约审计师的真实收入有多少?

本文介绍了智能合约审计领域中一些顶级审计师的收入情况,包括Trust、Pashov、Owen Thurm和CMichel。这些审计师通过智能合约审计、安全咨询、漏洞赏金等方式获得了可观的收入,表明智能合约审计是区块链生态系统中一个重要的且经济回报丰厚的职业道路。
智能合约审计  区块链安全  漏洞  赏金  收入  Web3 

从输入密码到签名消息:认证逻辑的根本转变

in  Web2 到 Web3:登录与身份验证机制全面进化
本章深入剖析了 Web3 登录中最核心的认证机制 —— 数字签名,帮助读者理解从「输入密码」到「签名消息」的本质转变。通过对 `eth_sign`、`personal_sign`、EIP-191 等签名标准的讲解,我们构建了完整的签名验证流程,包括签名格式、地址恢复与安全对比。同时明确了前端负责签名
eth  EIP191  Web3  sigature  EIP712 
  • Henry
  • 发布于 2025-06-25
  • 阅读 ( 763 )

Solana Passkeys:加密钱包用户体验的未来

本文介绍了如何利用 Passkeys 技术改进 Solana 钱包的用户体验,尤其是在用户登录和授权方面。Para 通过其嵌入式钱包 SDK,利用 Passkeys 作为授权方式,而非直接用于签名交易,从而绕过了椭圆曲线不兼容的问题,实现了快速、安全的链上交易。开发者可以通过 Para 的 SDK 在五分钟内将 Passkeys 集成到 Solana 应用中,实现更高的用户转化率和更好的安全性。
Passkeys  Solana  钱包  用户体验  WebAuthn  Ed25519  Para SDK 
  • Helius
  • 发布于 2025-06-25
  • 阅读 ( 678 )
  • ( 35 )