CertiK 安全知识分享

1

技术详解 | 链上打新局中局，大规模Rug Pull手法解密

CertiK安全专家团队频繁检测到多起手法相同的“退出骗局”，也就是我们俗称的RugPull。在我们进行深入挖掘后发现，多起相同手法的事件都指向同一个团伙，最终关联到超过200个Token退出骗局。这预示着我们可能发现了一个大规模自动化的，通过“退出骗局”方式进行资产收割的黑客团队。在这些退

2

重磅 | CertiK《Hack3d：2024年第三季度安全报告》（附报告全文链接）

CertiK《Hack3d：2024年第三季度Web3.0安全报告》现已发布，本次报告深入分析了2024年7月至9月的链上安全状况，本季度总损失金额为7.53亿美元，网络钓鱼和私钥泄露是本季度造成资产损失的主要原因。关键数据2024年第三季度，共发生了155起链上安全事件，损失金额达到7.5

3

零知识证明的先进形式化验证：两个ZK漏洞的深度剖析

我们曾经讨论了零知识证明的先进形式化验证：如何验证一条ZK指令。通过形式化验证每条zkWasm指令，我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中，我们将关注发现漏洞的视角，分析在审计和验证过程中发现的具体漏洞，以及从中得到的经验和教训。如要了解有关零知识证明（ZKP）区块链的

4

零知识证明区块链的先进形式化验证

本文将介绍零知识证明以及其在零知识证明中应用的逻辑。

5

零知识证明的先进形式化验证：如何验证一条ZK指令

为了深入理解形式化验证技术是如何应用于zkVM（零知识虚拟机）之上的，本文将聚焦于单条指令的验证。

6

什么是“社会工程学攻击”？解构 Concentric.Fi 安全事件

1月22日，Concentric.fi遭到攻击，损失超过185万美元。Concentric在其官方社交账号宣布，此次攻击是一次有针对性的“社会工程学攻击”。所谓社会工程学攻击，是指攻击者通过与被攻击者的正常交流，骗取其信任，对其心理造成影响后泄漏机密或者作出某些行为，以达到攻击者的目的。在针对

7

数据验证环节漏洞导致损失330万美元，详解Socket攻击事件始末

2024年1月16日，SocketTech遭到攻击，损失约330万美元。攻击者利用了Socket某合约中数据验证环节的漏洞，通过恶意数据输入盗取了授权合约的用户资金。这次攻击共给230个地址带来损失，最大的单地址损失约为65.6万美元。、

8

干货分享：区块链运行时环境与智能合约安全建模

在Web3.0领域，智能合约的安全性也会被其部署区块链的设计和运行时环境影响。这有很多原因，例如：①开发者必须使用新的特定领域语言；②交易执行可能涉及异步函数最终性；③对于不同的区块链环境，并不总是具有相同的工具。在本文中，我们将探讨基于不同的运行时模型，智能合约安全性是如何变化的。

9

十大Web3.0安全最佳实践方式（全篇）超长干货收藏版！

十大Web3.0安全最佳实践方式

10

金融市场的暗面：揭秘Web3.0中的市场操纵

Web3.0市场与传统金融市场都源自相同的金融逻辑，因此，也同样难逃遭受市场操纵的命运。许多困扰股票和其他金融商品的操纵手段，如洗售交易、制造恐慌情绪以及拉高出货等，也同样出现在Web3.0市场。值得注意的是，由于Web3.0市场的去中心化特性以及监管规则的缺失，这些操纵行为更容易得逞。

11

揭秘Scam-as-a-Service：警惕钓鱼攻击的产业化

本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法，并详细列举其行为特征。希望通过这些分析，能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。

12

安全指南｜ Web3.0渗透测试概念与实践详解

Web3.0渗透测试是以攻击性评估Web3.0应用程序以及基于区块链的系统安全性的过程。在本文中，我们将探讨Web3.0渗透测试是什么、为什么它很重要，以及如何利用它来保护我们的Web3.0钱包、交易所或DApp。

13

CertiK安全调研报告：Web3.0桌面钱包的初步安全评估

桌面钱包在Web3.0生态系统中扮演着关键角色，它们为用户在去中心化网络中安全地管理数字资产提供了可靠的解决方案。Cointelegraph的报告[1]指出，据Bitfinex交易所的分析师观察显示，截至2023年12月1日，全球数字货币持有者的数量显著增长，已经从年初的4.32亿增长至5.75亿

14

已举报：诈骗组织CryptoGrab在英国注册公司，用户应加强资产保护意识

CryptoGrab专门为攻击者提供网络钓鱼服务，包括Nova Drainer和更古早的助记词网络钓鱼技术。这篇文章将重点介绍该组织正在进行的危险活动，并与大家分享如何应对以及保护自己的资产。

15

技术详解 | 链上打新局中局，交税的狙击机器人

本文则是以代币“ZhongHua”为例解析该团伙的另一种RugPull手法：用复杂的税收功能逻辑，掩盖可用于RugPull的转账功能。我们通过“ZhongHua”代币案例，分析地址0xdf1a的另一种RugPull手法细节。

16

CertiK Hack3D： Web3.0 年度安全报告（2024）

2024年Web3.0领域因安全事件导致的总损失超过23.63亿美元，同比增幅达31.61%。全年共发生760起安全事件，其中网络钓鱼和私钥泄露是两大主要攻击手段，分别造成10.5亿美元和8.55亿美元的损失。网络钓鱼攻击造成的损失占全年总损失额的近50%，成为影响行业安全的最大威胁。

17

明暗交织：揭秘以太坊代币生态乱象

以太坊上每天发的新币里，50%都会自动化割韭菜的。CertiK通过rugpull经典案例为您揭开这背后的故事。

18

Web3.0移动钱包的新型钓鱼攻击手法：Modal Phishing

ModalPhishing（模态钓鱼攻击）是可用于在连接的去中心化应用（DApp）身份方面误导受害者的新型网络钓鱼技术。

19

洗劫数百万美元，警惕Web3.0独有钓鱼攻击升级版：Ice Phishing

在众多欺诈类别中，钓鱼攻击是欺诈者们最常使用的方式之一。然而，在Web3.0领域，不止有着钓鱼攻击，还有一种会对社区产生重大威胁的「IcePhishing」攻击。

20

守护资产，防范风险 | 2025年Web3.0资产安全指南

本文将探讨如何防范网络钓鱼攻击，帮助大家掌握核心防护策略，为数字资产建立起更强有力的安全屏障。

21

CertiK首席商务官做客Cointelegraph播客：14亿美金劫案背后的安全启示

CertiK首席商务官JasonJiang近日做客Cointelegraph《TheAgenda》播客，就Bybit事件深入探讨Web3.0安全。当14亿美元资产一夜蒸发，震惊的不只是行业，更是每一位关注数字财富安全的用户。这不仅是加密史上最大盗窃案，也暴露了在行业高速发展中潜藏的风险。Ce

22

CertiK发布《Hack3d：2025第一季度安全报告》（附报告全文链接）

CertiK《Hack3d：2025年第一季度安全报告》现已发布，本次报告深入分析了2025年1至3月Web3.0领域的安全状况。2025年第一季度共发生197起安全事件，总损失约为16.7亿美元，环比激增303.4%。其中Bybit事件导致约14.5亿美元的损失，引发对中心化交易所安全性的广泛讨

23

机遇还是隐忧？CertiK首席安全官剖析AI在Web3.0中的两面性

近日，区块链媒体CCN刊登了CertiK首席安全官WangTielei博士的文章，深入剖析了AI在Web3.0安全体系中的双面性。文章指出，AI在威胁检测和智能合约审计中表现出色，能显著增强区块链网络的安全性；然而，若过度依赖或整合不当，不仅可能与Web3.0的去中心化原则相悖，还可能为黑客打开

24

从硬件视角审视Web3安全：CertiK CTO主持Proof of Talk圆桌论坛

6月10日，在备受瞩目的全球Web3与AI峰会ProofofTalk2025上，CertiK首席技术官LiKang博士主持了一场聚焦“Web3钱包与托管安全”（Web3WalletandCustodialSecurity）的圆桌论坛。

CertiK 安全知识分享

该作者的其他专栏