Cyfrin 2025年3月区块链安全与教育简报

cyfrin
发布于 2025-01-26 20:34
阅读 18

Cyfrin的区块链安全和教育新闻简报强调了Web3安全领域的重要更新，包括Bybit $1.4B黑客事件分析、智能合约安全提示以及多项行业合作与资源分享。该简报突显了一系列高风险安全事件，提供了关于提高资产保护的工具和建议，鼓励读者参与安全认证和技能培训。

## Cyfrin的区块链安全与教育通讯：2025年3月

在Web3安全领域走在前沿！探索Bybit $14亿的黑客事件、顶级漏洞、智能合约技巧，以及保护你资产的工具，尽在Cyfrin最新的安全更新中。

**$14亿被盗**，这是加密行业历史上最大的一起犯罪事件，但web3正在通过[**safe-tx-hashes**](https://github.com/Cyfrin/safe-tx-hashes)工具、更智能的防御以及更好的安全教育进行反击。

阅读Cyfrin本月的更新、安全新闻和行业见解。

‍

### 来自Cyfrin的最新动态

**新闻与合作**：

- 各协议正在使用**Updraft认证**来招募人才。所以别忘了[**今天就安排你的考试**](https://updraft.cyfrin.io/certifications)！
- **CodeHawks重新定义了智能合约安全**，与OpenZeppelin、Guardian Audits和Hashlock共同推出审计服务。
- **Cyfrin与Chainlink的** [**合作**](https://x.com/CyfrinAudits/status/1892567031137898809) **正在增强DeFi项目的实力**，提供独家审计、专家指导和安全福利。
- Soneium Mainnet已上线，[**Cyfrin审计**](https://x.com/CyfrinAudits/status/1887475617081225343) **正在保护游戏、NFT和DeFi的未来**。
- [**以太坊基金会**](https://x.com/cyfrinresearch/status/1887444897025650941) **强力支持** [**Aderyn**](https://github.com/Cyfrin/aderyn)，为开发者提供Solidity的实时安全诊断。
- [**Eagles计划**](https://x.com/CodeHawks/status/1884938239108141203) **现已推出**，让CodeHawks的顶尖研究人员领导比赛、访问私密审计以及获取专门奖励。
- [**Uniswap V3**](https://x.com/CyfrinUpdraft/status/1890080272378458193) **现已在Updraft上线**，提供7小时的专家主导内容，帮助你构建强大的DeFi协议。
- **Cyfrin Profiles推出了** [**双因素认证安全**](https://x.com/CyfrinAudits/status/1887113096948318335)，让你通过设备认证和会话管理来加强账户安全。

‍

![一幅展示CodeHawks、Hashlock、OpenZeppelin和Guardian Audits共同进行安全审核的共同审计的可视化图。](https://img.learnblockchain.cn/2025/04/05/s749h_GdgDOPwV6Vp5YWldzyk0bzpc9VdIuVyvFG5vKivg.png)

**一切都是关于人**： [Elif](https://x.com/elifhilalumucu/status/1890129052054253746) 在Chainlink工作四年后加入Cyfrin，带来了她对Solidity、开发者教育和安全的热情。与此同时，Mustapha在不到五个月的时间里从学生转变为智能合约安全专家，保护了数十亿资产！ [如何做到](https://www.cyfrin.io/success-stories/from-student-developer-to-security-expert-in-less-than-5-months)?

**Cyfrin的关键见解：**

- [多签钱包](https://learnblockchain.cn/article/13756)是必须的——以下是如何设置。
- [验证多签](https://learnblockchain.cn/article/13786)交易可以为你节省数百万（在[Bybit的案例](https://youtu.be/suFhAXWzGlg)中更是数十亿）。
- [智能合约回退](https://learnblockchain.cn/article/13663)的解释——了解当事情出错时会发生什么。
- [输入验证缺陷](https://learnblockchain.cn/article/13658)可能会毁掉合约——避免这些常见错误。
- [DeFi清算](https://learnblockchain.cn/article/13737)可能被利用——看看攻击者如何获利。
- [Web3安全](https://learnblockchain.cn/article/13788)不仅仅是代码——不要忽视操作安全风险。
- [打入以太坊](https://x.com/ethereum/status/1887453903522005051)的四步指南，助你成为顶尖开发者。
- [Vyper与Solidity](https://learnblockchain.cn/article/13787)—哪一种更安全用于智能合约？
- **附言**。记得参加我们即将举行的 [CodeHawks比赛](https://codehawks.cyfrin.io/c/2025-03-curve/)！

‍

### 高调的黑客事件和安全事件

[**Bybit被利用**](https://learnblockchain.cn/article/13768) **($14亿)**：阅读Cyfrin对加密历史上最大窃盗案的详细分析。更重要的是，[Cyfrin几周前的指南](https://learnblockchain.cn/article/13786)详细说明了如何避免这一事件。更重要的是，学习[web3钱包和后部部署安全](https://updraft.cyfrin.io/courses/wallets)的知识。

![一幅Cyfrin的插图，对比了初步假设被黑客入侵的计算机与Bybit黑客事件中的实际利用情况。](https://img.learnblockchain.cn/2025/04/05/Psz9nWiTTmUNnUT3_anGouP7QSXJL7s3biPLi1mkKM8iGQ.png)

[**LIBRA内存币被抽水**](https://www.ccn.com/news/crypto/libra-crash-altcoin-crunch-javier-milei-criminal-charges/) **($2.86亿)**：$44亿的LIBRA抽水事件导致74,000名交易者损失了$2.86亿，涉及阿根廷总统Milei，引发法律和政治后果。

[**Infini被利用**](https://cointelegraph.com/news/infini-loses-50-m-in-exploit-developer-deception-suspected) **($5000万)**：一名怀疑的前开发者留下了一个隐藏的后门，绕过了安全机制，并抽走了Infini的合约资产。这些资金随后迅速通过Tornado Cash洗白，交换为ETH，并转移到一个新钱包。

[**Ionic被利用**](https://rekt.news/ionic-money-rekt/) **($1230万)**：一次通过社交工程手段进行的$1230万的利用，攻击者使用虚假LBTC代币抽取资产，通过Tornado Cash洗钱350万美元，随后在Mode上冻结了880万美元。

[**zkLend黑客事件**](https://blog.solidityscan.com/zklend-hack-analysis-e494cb794f71) **($950万)**：zkLend因攻击者利用mint()函数中的舍入错误而损失了$950万（3600 ETH），后续通过Railgun洗钱。

‍

### 行业新闻与资源

**把技能变成现金**：审计是一块金矿——如果你知道在哪里找， [以下是方法](https://x.com/DevDacian/status/1885263771268243804)可以让顶级审计师迅速致富。为了领先，学习这些关键漏洞、治理接管和那些[让专家猝不及防的漏洞](https://learnblockchain.cn/article/10730)。记住，你的成功依赖于漏洞报告的质量，所以[掌握技巧](https://zokyo.io/blog/the-art-of-writing-security-reports)。

**走进魔鬼的鞋子**：发现2024年第四季度[八个最活跃的攻击者](https://tenarmor.com/blogs/en/published/A-Deep-Dive-into-Eight-Habitual-Offenders-Behavior/)——他们如何**运作**、洗钱资金以及规避检测。此外， [深入黑客的心灵](https://x.com/Securrtech/status/1886660522004897997)，看看他们如何打破假设、操纵时间以及利用好奇心。

‍

![TenArmor风险分析图，显示来自高风险安全漏洞的资金流动，涉及Arbitrum Bridge和1inch聚合。](https://img.learnblockchain.cn/2025/04/05/kdc_yI5pRG5DxfKeT9zgwH-unglvEdu84es4D3PSl3L0Hb.png)

攻击者资金流动的分析；来源：[TenArmor](https://tenarmor.com/blogs/en/published/A-Deep-Dive-into-Eight-Habitual-Offenders-Behavior/)

‍

**人工智能：朋友还是敌人**：威胁行为者如何利用生成性AI进行更快、更高效的攻击，他们的行动又有什么阻碍？ [查看谷歌的发现。](https://services.google.com/fh/files/misc/adversarial-misuse-generative-ai.pdf)

**高级安全深度分析**：从机密智能合约到二层扩容，受信执行环境 [(TEEs)正在改变游戏规则](https://learnblockchain.cn/article/13853)。而多签钱包的安全性并不像你想象的那样高。 [这是为什么](https://bentobox19.github.io/posts/defense-in-depth-applied-to-multisig-schemes)。

**本月工具**：[Safe-tx-hashes](https://github.com/Cyfrin/safe-tx-hashes)可以通过确保每笔多签交易都是**在签署之前进行验证的**，从而防止**$14亿Bybit黑客事件**。这个工具可以帮助你在资金被抽走之前捕捉恶意交易——使用它，或冒着成为下一个头条新闻的风险。

‍

### Web3需要你

[**今天就安排你的认证考试！**](https://updraft.cyfrin.io/certifications)

开始在[区块链集训营](https://learnblockchain.cn/openspace/1)学习智能合约开发与安全。

参加[CodeHawks](https://codehawks.cyfrin.io/contests/)上的竞争性审计。

有人转发给你这份通讯吗？[在这里订阅](https://www.cyfrin.io/newsletter)!

>- 原文链接： [cyfrin.io/blog/cyfrins-b...](https://www.cyfrin.io/blog/cyfrins-blockchain-security-and-education-newsletter-march-2025)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Cyfrin的区块链安全与教育通讯：2025年3月

在Web3安全领域走在前沿！探索Bybit $14亿的黑客事件、顶级漏洞、智能合约技巧，以及保护你资产的工具，尽在Cyfrin最新的安全更新中。

$14亿被盗，这是加密行业历史上最大的一起犯罪事件，但web3正在通过safe-tx-hashes工具、更智能的防御以及更好的安全教育进行反击。

阅读Cyfrin本月的更新、安全新闻和行业见解。

‍

来自Cyfrin的最新动态

新闻与合作：

各协议正在使用Updraft认证来招募人才。所以别忘了今天就安排你的考试！
CodeHawks重新定义了智能合约安全，与OpenZeppelin、Guardian Audits和Hashlock共同推出审计服务。
Cyfrin与Chainlink的 合作 正在增强DeFi项目的实力，提供独家审计、专家指导和安全福利。
Soneium Mainnet已上线，Cyfrin审计 正在保护游戏、NFT和DeFi的未来。
以太坊基金会 强力支持 Aderyn，为开发者提供Solidity的实时安全诊断。
Eagles计划 现已推出，让CodeHawks的顶尖研究人员领导比赛、访问私密审计以及获取专门奖励。
Uniswap V3 现已在Updraft上线，提供7小时的专家主导内容，帮助你构建强大的DeFi协议。
Cyfrin Profiles推出了 双因素认证安全，让你通过设备认证和会话管理来加强账户安全。

‍

一切都是关于人： Elif 在Chainlink工作四年后加入Cyfrin，带来了她对Solidity、开发者教育和安全的热情。与此同时，Mustapha在不到五个月的时间里从学生转变为智能合约安全专家，保护了数十亿资产！如何做到?

Cyfrin的关键见解：

多签钱包是必须的——以下是如何设置。
验证多签交易可以为你节省数百万（在Bybit的案例中更是数十亿）。
智能合约回退的解释——了解当事情出错时会发生什么。
输入验证缺陷可能会毁掉合约——避免这些常见错误。
DeFi清算可能被利用——看看攻击者如何获利。
Web3安全不仅仅是代码——不要忽视操作安全风险。
打入以太坊的四步指南，助你成为顶尖开发者。
Vyper与Solidity—哪一种更安全用于智能合约？
附言。记得参加我们即将举行的 CodeHawks比赛！

‍

高调的黑客事件和安全事件

Bybit被利用 ($14亿)：阅读Cyfrin对加密历史上最大窃盗案的详细分析。更重要的是，Cyfrin几周前的指南详细说明了如何避免这一事件。更重要的是，学习web3钱包和后部部署安全的知识。

LIBRA内存币被抽水 ($2.86亿)：$44亿的LIBRA抽水事件导致74,000名交易者损失了$2.86亿，涉及阿根廷总统Milei，引发法律和政治后果。

Infini被利用 ($5000万)：一名怀疑的前开发者留下了一个隐藏的后门，绕过了安全机制，并抽走了Infini的合约资产。这些资金随后迅速通过Tornado Cash洗白，交换为ETH，并转移到一个新钱包。

Ionic被利用 ($1230万)：一次通过社交工程手段进行的$1230万的利用，攻击者使用虚假LBTC代币抽取资产，通过Tornado Cash洗钱350万美元，随后在Mode上冻结了880万美元。

zkLend黑客事件 ($950万)：zkLend因攻击者利用mint()函数中的舍入错误而损失了$950万（3600 ETH），后续通过Railgun洗钱。

‍

行业新闻与资源

把技能变成现金：审计是一块金矿——如果你知道在哪里找，以下是方法可以让顶级审计师迅速致富。为了领先，学习这些关键漏洞、治理接管和那些让专家猝不及防的漏洞。记住，你的成功依赖于漏洞报告的质量，所以掌握技巧。

走进魔鬼的鞋子：发现2024年第四季度八个最活跃的攻击者——他们如何运作、洗钱资金以及规避检测。此外，深入黑客的心灵，看看他们如何打破假设、操纵时间以及利用好奇心。

‍

攻击者资金流动的分析；来源：TenArmor

‍

人工智能：朋友还是敌人：威胁行为者如何利用生成性AI进行更快、更高效的攻击，他们的行动又有什么阻碍？查看谷歌的发现。

高级安全深度分析：从机密智能合约到二层扩容，受信执行环境 (TEEs)正在改变游戏规则。而多签钱包的安全性并不像你想象的那样高。这是为什么。

本月工具：Safe-tx-hashes可以通过确保每笔多签交易都是在签署之前进行验证的，从而防止$14亿Bybit黑客事件。这个工具可以帮助你在资金被抽走之前捕捉恶意交易——使用它，或冒着成为下一个头条新闻的风险。

‍

Web3需要你

今天就安排你的认证考试！

开始在区块链集训营学习智能合约开发与安全。

参加CodeHawks上的竞争性审计。

有人转发给你这份通讯吗？在这里订阅!

原文链接： cyfrin.io/blog/cyfrins-b...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。