我们监控到 SUI 上针对 Cetus 的攻击事件，攻击共造成 223M USD 的损失

安全牛第十二版《中国网络安全行业全景图》，零时科技强势入围“区块链安全”领域。

为什么EIP-7702能被称为账户抽象“终极形态”？它到底解决了啥问题？Pectra 升级后对钱包、开发者和普通用户意味着什么？

BitsLab旗下TonBit再次于TON虚拟机（TVM）深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间，污染父虚拟机的库（libraries）并诱发后续调用失败，最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易，并验证智能合约行为，从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata，模拟 ERC-20 approve 交易的影响，并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据，解码出两个预言机报告者的私钥，攻击者可以利用这些私钥操纵NFT价格，低价购买后再以高价卖出，从而获利。

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据，用户可以验证交易的意图，防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程，并提供了一个Python脚本来自动化calldata分析，最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”，允许攻击者利用闪电贷，先借出资金并存回，然后在合约账户中获得信用，最后提取所有资金。文章提供了攻击流程以及相应的解决方案，并提出了预防措施，即闪电贷合约应使用transferFrom()函数从用户合约提取资金。

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址，以检测恶意地址。

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战，该挑战通过操纵会计系统实现拒绝服务攻击。

4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元，其中绝大多数（3.18亿美元）与网络钓鱼攻击有关。

本文解释了矿工攻击，即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型：使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击，文章都提供了示例代码、漏洞解释、缓解措施以及测试用例，旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。

本文档描述了一种可扩展的Safe架构，旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现，允许自定义方法调用和EIP-712签名验证，同时保持与现有Safe功能的向后兼容性，例如ERC-1271签名和Token回调，从而扩展Safe的功能，并允许更灵活的交互方式。

本文介绍了在智能合约开发中使用加密密钥的重要性，并提供了在 Hardhat 和 Foundry 框架中实现加密密钥的详细步骤。文章强调了明文存储密钥的风险，并提供了使用 AES 等加密技术保护密钥的方法，同时推荐了密钥管理和安全开发的最佳实践。

Agave的ed25519和secp256r1预编译程序中存在一个bug，该bug在新版v2.2引入的--transaction-structure view选项的验证器中被暴露。

本文强调了形式化验证（FV）在Web3和DeFi安全中的重要性，指出传统测试方法不足以应对Web3的安全挑战。FV通过数学证明确保代码按预期运行，能预防高危漏洞，并已在多个知名DeFi项目中应用，同时建议将FV尽早集成到开发生命周期中，以提升代码质量和安全性。

本文介绍了如何使用 safe-utils 和 tenderly-utils 这两个 Foundry 模块来简化协议的治理流程，尤其是在涉及 Safe 多签账户的场景下。

该文章深入探讨了Solana区块链上两种新兴的欺诈形式：基于域名的粉尘攻击和外科手术式地址投毒攻击。文章详细解释了这两种攻击方式的原理、识别方法，以及如何通过建立工具来检测和预防这些攻击。文章强调，通过简单的逻辑和可扩展的方法，可以在钱包层面有效减少这些攻击。

本文分析了审计竞赛平台常见的营销误导策略，包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时，关注透明度、沟通和有效指标，并提出了一系列问题，帮助读者识别并避免这些误导，从而选择真正能提高代码安全性的平台。

本文探讨了Web3开发中常见的智能合约漏洞，并提供了防范措施。文章详细分析了重入攻击、数据溢出和下溢，以及价格预言机操纵这三种经典漏洞的原理、攻击方式和修复方法。此外，文章还介绍了Chainlink等工具在降低预言机操纵风险方面的应用，强调了安全第一的开发理念。