文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
BlockThreat 周报 - 2025年第34周
本周加密货币领域损失约9140万美元,主要是一起网络钓鱼攻击导致。EIP-1967代理劫持事件频发,提醒开发者注意合约初始化原子性。Lazarus组织入侵Woo X,盗取1400万美元。新的iOS 0day漏洞被利用。此外,还涉及域名劫持、零日漏洞、密码管理器漏洞、加密犯罪报告、政府追回被盗资金、以及针对Dogecoin的攻击等。
网络钓鱼
EIP-1967
漏洞
安全
加密货币
iOS
BlockThreat
发布于 9小时前
阅读 ( 70 )
BlockThreat - 2025年第33周周报
本周要点包括:BtcTurk再次遭受热钱包攻击损失5170万美元;Coinbase因错误授权导致55万美元损失;Kraken因Monero遭受51%攻击暂停Monero存款。此外,还涉及朝鲜IT工作人员的网络犯罪活动、加密货币相关诈骗和恶意软件,以及针对Web3项目安全的研究和工具。
加密货币
安全漏洞
网络攻击
钓鱼
恶意软件
朝鲜IT工作人员
BlockThreat
发布于 2天前
阅读 ( 222 )
( 6 )
通过混淆实现的安全通常是很差的安全
本文主要讨论了使用混淆技术来实现安全性的问题,作者通过举例说明了混淆技术在实际应用中的不足,并强调了在高度风险环境中,尤其是可能涉及生命损失的数据泄露事件中,必须采用数据加密和适当的访问控制。文章批评了使用隐藏标签等混淆手段的安全性,并强调了加密的重要性。
混淆
安全性
加密
数据泄露
恶意软件
JavaScript
asecuritysite
发布于 3天前
阅读 ( 411 )
( 13 )
BlockThreat - 2025年第32周
本篇文章主要讨论了与加密货币相关的安全事件、漏洞和政策更新。内容涵盖 Tornado Cash 的法律风险,朝鲜黑客利用社交工程攻击加密项目的 TTPs,以及各种网络钓鱼、恶意软件和诈骗活动。此外,还包括对智能合约安全、AI 在代码审计中的应用以及相关工具的介绍。
Tornado Cash
网络钓鱼
恶意软件
智能合约安全
AI代码审计
朝鲜黑客
BlockThreat
发布于 3天前
阅读 ( 407 )
( 8 )
智能合约审计需要的思维模型
本文作者分享了智能合约安全审计的经验模型,强调了资源收集、智能合约概览、手动代码审查、功能测试、自动化审查、报告编写和修复代码审查等关键步骤。文章旨在帮助审计人员系统性地进行安全审计,并识别潜在的安全漏洞。
智能合约
安全审计
漏洞
代码审查
功能测试
自动化测试
calibersec
发布于 4天前
阅读 ( 614 )
( 18 )
PoRv2:一种快速、透明的基于 ZK 的储备证明
本文介绍了PoRv2,一个基于零知识证明(ZKP)的快速、透明的储备证明系统,它结合了zk-proofs和Merkle树,允许用户在不需要外部审计的情况下验证交易所的负债。该系统使用plonky2 ZK算法,提高了效率和透明度,并提供了一个验证服务器以方便用户验证,旨在提高加密货币交易所的透明度和用户信任。
零知识证明
储备证明
zk-proofs
Merkle树
Plonky2
密码学
透明性
osecio
发布于 5天前
阅读 ( 176 )
( 3 )
构建安全 Noir 电路的开发者指南
本文深入探讨了使用 Noir 构建零知识证明(ZKP)应用时常见的安全漏洞。文章详细分析了逻辑错误、有限域算术陷阱、意图与实现不符以及隐私泄露这四大类问题,并提供了具体的代码示例和审计关注点,旨在帮助开发者构建更安全可靠的 Noir 电路。
零知识证明
Noir
安全漏洞
有限域算术
隐私泄露
电路设计
OpenZeppelin
发布于 5天前
阅读 ( 554 )
( 13 )
零时科技 || Equilibria 攻击事件分析
我们监控到 Ethereum 上针对 Equilibria 的攻击事件,本次攻击共造成约 63k USD 的损失。
黑客攻击
攻击事件
区块链安全
零时科技
发布于 6天前
阅读 ( 233 )
( 6 )
威胁情报:Clickfix网络钓鱼攻击
该文章分析了一种名为Clickfix的网络钓鱼攻击,攻击者通过模仿常见的机器人验证,诱骗用户执行恶意命令,从而下载恶意软件。恶意软件具有信息窃取、键盘记录和C2通信等行为,最终目的是窃取用户的敏感数据,包括加密货币钱包私钥。建议开发者和用户对不熟悉的命令保持警惕,并在隔离环境中执行调试或命令。
Clickfix
网络钓鱼
恶意软件
信息窃取
键盘记录
C2通信
slowmist
发布于 2025-08-23
阅读 ( 14 )
利用图像缩放攻击生产环境中的AI系统
本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像,利用图像缩放算法的特性,在图像缩小时嵌入恶意提示,实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证,并提供了防御建议和开源工具Anamorpher。
图像缩放攻击
多模态提示注入
数据泄露
AI安全
Anamorpher
Gemini CLI
Trail of Bits
发布于 2025-08-22
阅读 ( 14 )
你可能用错了 WebView:移动开发者常见的安全隐患
本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView
安全漏洞
加密货币钱包
用户界面攻击
来源欺骗
消息拦截
zellic
发布于 2025-08-22
阅读 ( 763 )
( 40 )
Echidna 验证与探索模式:利用 hevm 增强的符号执行
Echidna 通过集成 hevm 增强的符号执行能力,引入了两种新模式:验证模式(用于无状态测试,旨在证明不存在错误)和探索模式(结合符号执行与模糊测试,用于识别状态变化中的断言失败)。文章通过实例展示了这两种模式的应用,并讨论了符号执行的局限性以及未来的改进方向,例如改进用户界面、自动提取参数边界和建立基准测试。
Echidna
符号执行
模糊测试
hevm
智能合约安全
形式验证
gustavo-grieco
发布于 2025-08-20
阅读 ( 91 )
( 2 )
Solidity 弱随机数的不安全性
本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity
随机数
智能合约
安全漏洞
Chainlink VRF
区块链安全
blockmagnates
发布于 2025-08-19
阅读 ( 334 )
( 17 )
掌握 Solidity 中的访问控制
本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity
访问控制
安全漏洞
OpenZeppelin
智能合约
权限管理
blockmagnates
发布于 2025-08-19
阅读 ( 341 )
( 27 )
保守秘密的代价有多高?
本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager
密钥管理
密钥存储
密钥轮换
数据库密码
API密钥
asecuritysite
发布于 2025-08-18
阅读 ( 352 )
( 11 )
第二十二条军规:扫描被入侵的公钥
本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH
公钥
入侵检测
RSA
Ed25519
OpenSSH
asecuritysite
发布于 2025-08-16
阅读 ( 437 )
( 13 )
保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤
本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明
Rollup
安全性
完备性
有效性
OP Stack
以太坊中文
发布于 2025-08-15
阅读 ( 174 )
( 6 )
传统金融许可型资本市场智能合约协议中的漏洞
本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约
漏洞
权限控制
合规性
真实世界资产
RWA
DeFi
Cyfrin
发布于 2025-08-12
阅读 ( 586 )
( 12 )
BlockThreat - 2025年第31周周报
本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞
安全审计
加密货币
黑客攻击
信息安全
多链
BlockThreat
发布于 2025-08-11
阅读 ( 707 )
( 15 )
臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出
本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全
漏洞分析
AMM
Permit2
shift溢出
区块链安全
OpenZeppelin
发布于 2025-08-07
阅读 ( 749 )
( 18 )
‹
1
2
3
4
5
6
7
8
...
57
58
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
Trusted Seed
eBPF
QAP
社区管理
供应链
清算机制
哈希算法
活动
资产安全
安全最佳实践
房地产
数学模型
P2WPKH
执行客户端
Kintsugi
拜占庭共识
闪电贷款
libsnark
None
flashloan
Aleo
TimelockController
L1扩容
cadCAD
以太坊登录
30天文章收益榜
»
Henry
96 篇文章,562 学分
Helius
153 篇文章,430 学分
blockmagnates
80 篇文章,384 学分
寻月隐君
271 篇文章,324 学分
Andrey Obruchkov
9 篇文章,251 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: