文章
视频
课程
百科图谱
集训营
更多
问答
提问
发表文章
专栏
活动
文档
工作
集市
发现
Toggle navigation
文章
问答
视频
课程
集训营
专栏
活动
工作
文档
集市
搜索
登录/注册
精选
推荐
最新
周榜
关注
RSS
全部
通识
以太坊
比特币
Solana
公链
Solidity
Web3应用
编程语言
安全
密码学
AI
存储
其他
如何应对 npm 依赖供应链攻击的风险
文章分析了 npm 依赖供应链攻击的风险,指出攻击者可以通过篡改深层依赖项来影响用户,尤其是在 Web3 领域,前端直接处理交易签名,风险更高。文章建议通过减少依赖、自建核心模块、使用 IPFS CID 验证构建产物等方法来降低风险。
npm
依赖供应链攻击
Web3
IPFS
安全
漏洞
blockmagnates
发布于 1天前
阅读 ( 150 )
( 3 )
用于跨链消息传递系统的 AI 驱动的联盟证明证明 - 第 2 部分
本文介绍了CORE Pipeline,这是一个用于确保跨链消息传递系统安全的系统。该pipeline通过生成场景、进行稳健性可行性分析、进行参数优化以及进行统计认证四个阶段,来保证在各种情况下,攻击者无法通过贿赂节点来伪造消息,并提供一个可验证的证书来证明系统的安全性。
跨链消息传递
安全
联盟优化
稳健型启发
参数优化
统计认证
thogiti
发布于 1天前
阅读 ( 154 )
( 15 )
发现智能合约漏洞的方法(审计:第二部分)
本文是智能合约审计系列文章的第二部分,主要讨论了如何发现智能合约中的漏洞。文章首先定义了智能合约中的bug类型,然后详细介绍了在理解代码的过程中以及如何通过测试假设来发现潜在的漏洞,并强调了采用攻击者思维模式的重要性,通过不断提问和探索各种可能性来进一步挖掘潜在的漏洞。文章还提到审计是一个不断学习和改进的过程,即使失败也能提供宝贵的经验。
智能合约
审计
漏洞
重入攻击
拒绝服务
安全
philbugcatcher
发布于 2天前
阅读 ( 279 )
( 17 )
跨链消息传递系统的抗联盟证明 第一部分
本文深入探讨了LayerZero、CCIP和Across等跨链桥的安全经济学,提出了一个包含联盟、相关性和机制的框架,用于评估和提高桥的安全性。核心观点是桥的安全性取决于打破它所需的最廉价的相关联盟,因此需要购买独立性、支付检测费用和投资未来,使作弊在经济上不可行。
跨链桥
LayerZero
CCIP
经济安全
联盟
相关性
机制设计
thogiti
发布于 5天前
阅读 ( 522 )
( 46 )
Sui Move如何重新思考闪电贷安全性
本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
闪电贷
Sui
Move语言
DeepBookV3
热土豆模型
可编程交易块
Trail of Bits
发布于 6天前
阅读 ( 387 )
( 12 )
【引介】Canon Guard - 更安全的使用 Safe 多签
本文介绍了Canon Guard,一种用于多重签名(Multisig)交易的更安全执行模型。它通过引入Action合约来封装交易逻辑,并结合时间锁和自定义Safe Guard合约来增强安全性,旨在减少重复审批、防止恶意攻击,并实现完全链上的透明度和可模拟性。
多重签名
multisig
安全
智能合约
时间锁
链上治理
defi-wonderland
发布于 6天前
阅读 ( 584 )
( 22 )
ZKPassport:我们现在在哪里?
本文探讨了在生物护照上使用零知识证明来恢复 Safe 账户的方法,无需暴露个人数据。文章概述了生态系统中的主要参与者,并讨论了其优势和局限性。通过ZKPassport应用程序演示了NFC扫描、链上验证和Merkle树注册,以及用于通过范围标识符进行Safe钱包恢复的SDK。
零知识证明
生物护照
Safe 账户恢复
NFC扫描
Merkle树
zkPassport
身份验证
Safe Wallet
发布于 6天前
阅读 ( 339 )
( 11 )
如何应对供应链攻击
本文分析了最近NPM上发生的供应链攻击事件,恶意软件包通过替换用户交易中的区块链地址来窃取加密货币。文章解释了攻击原理,并提供了开发者可以采取的防御措施,包括版本锁定、使用`npm ci`以及实施Lavamoat等工具,以降低受到供应链攻击的风险。
供应链攻击
npm
恶意软件
LavaMoat
版本锁定
依赖管理
安全漏洞
osecio
发布于 2025-09-14
阅读 ( 366 )
( 14 )
代码审计循序渐进:第一部分
本文是作者分享的进行代码审计的步骤,主要分为理解代码和发现漏洞两个阶段。第一部分主要讲解如何高效地理解代码,包括建立基础知识、绘制代码流程图、阅读代码、并做笔记记录审计过程中的疑问、猜想和关键点。
代码审计
智能合约
安全漏洞
代码分析
协议安全
漏洞挖掘
philbugcatcher
发布于 2025-09-13
阅读 ( 407 )
( 26 )
Concordance:利用 LLM 安全地简化复杂智能合约
Certora 发布了一款名为 Concordance 的开源工具,它利用 LLM 自动简化复杂的智能合约代码,同时使用 Concord 等价性检查器来保证代码行为不变。Concordance 通过迭代地简化代码,并使用 Concord 验证 LLM 提出的修改方案,从而帮助开发者更容易地理解和审计复杂的智能合约。
智能合约
LLM
形式化验证
代码审计
Concordance
等价性检查
Certora
发布于 2025-09-13
阅读 ( 325 )
( 18 )
哪些受攻击的跨链桥:跨链漏洞的智能合约安全指南
本文深入探讨了跨链桥的工作原理以及它们面临的安全挑战。文章解释了“锁定和铸造”机制,分析了过去发生的重大桥攻击事件,并详细阐述了智能合约中常见的漏洞,例如弱链下验证、私钥管理不当、逻辑错误、访问控制缺陷以及不正确的输入验证。此外,文章还强调了构建安全桥梁所需的重要安全措施,包括独立审计、去中心化验证、实时监控和强大的密钥管理。
跨链桥
智能合约
漏洞
攻击
安全
区块链
ancilartech
发布于 2025-09-12
阅读 ( 253 )
( 15 )
Rust智能合约安全竞赛 - 赛后感
Certora举办了首次针对Rust的形式化验证竞赛,并与Code4rena和Cantina合作,为Soroban智能合约举办了两次社区竞赛。文章介绍了如何使用Certora的工具(如Sunbeam)和Rust库(如CVLR)进行形式化验证,并通过Blend v2和Aquarius两个竞赛的例子展示了形式化验证在发现智能合约漏洞中的应用。
形式化验证
Rust
智能合约
Soroban
Certora Prover
CVLR
Certora
发布于 2025-09-12
阅读 ( 313 )
( 15 )
一次侥幸:NPM 漏洞事件险些给加密货币用户带来浩劫
NPM(Node Package Manager)上知名开发者账号qix遭受网络钓鱼攻击,导致多个流行的 JavaScript 库被植入恶意代码,攻击者试图通过替换加密货币交易中的接收者地址来窃取资金。虽然攻击影响有限,只造成少量资金损失,但它暴露了软件供应链的潜在风险,并提醒开发者和用户采取更严格的安全措施,例如升级到修复版本、锁定依赖项版本、避免盲签交易等。
npm
供应链攻击
JavaScript
网络钓鱼
加密货币
地址替换
Galaxy
发布于 2025-09-12
阅读 ( 354 )
( 14 )
MGF 手动引导模糊测试:一份新手指南
本文介绍了手动引导模糊测试(MGF)在智能合约安全中的应用,MGF通过定义特定的测试流程和不变量,有针对性地检测漏洞,文章还对比了Wake MGF 与 Foundry 的模糊测试和不变量测试,并提供了使用Wake框架进行MGF的具体步骤和代码示例,展示了如何初始化合约、定义流程、处理 revert,定义不变量以及运行测试。
模糊测试
智能合约
漏洞检测
Wake框架
手动引导模糊测试
Solidity
Ackee
发布于 2025-09-10
阅读 ( 343 )
( 13 )
BlockThreat - 2025年第36周
本周发生了多起安全事件,总计损失超过2600万美元,其中Bunni和Venus用户遭受的损失最为严重。Venus Protocol通过快速响应和治理措施,成功追回被盗资金。此外,Justin Sun因涉嫌市场操纵被 World Liberty Financial 列入黑名单。文章还包括了其他安全事件、犯罪活动、网络钓鱼攻击以及恶意软件的报告。
Bunni
venus
OlaXBT
Nemo
Justin Sun
WLFI
漏洞
黑客
钓鱼攻击
恶意软件
BlockThreat
发布于 2025-09-10
阅读 ( 336 )
( 13 )
NPM供应链攻击剖析:涉及十亿次下载
NPM 账户 qix 遭到供应链攻击,导致多个常用软件包(如 chalk、strip-ansi 和 color-convert)发布恶意版本。该恶意软件是一个加密货币剪切器,通过替换网络请求中的钱包地址和直接劫持加密货币交易来窃取资金。建议立即审查项目依赖项,并使用 package.json 中的 overrides 功能将所有受影响的包锁定到其最后已知的安全版本。
供应链攻击
npm
恶意软件
加密货币剪切器
依赖项
package.json
JavaScript
jdstaerk
发布于 2025-09-09
阅读 ( 202 )
( 19 )
区块链取证:归因技术与开源情报的作用
本文深入探讨了区块链取证中的归因技术以及开源情报(OSINT)的关键作用。文章详细介绍了通过交易模式、基础设施、跨链行为和行为模式进行钱包归因的方法,并强调了OSINT在连接区块链地址与现实世界实体方面的重要性,包括利用社交媒体、域名记录、开发者仓库等多种信息源来识别和追踪恶意行为者。文章旨在帮助调查人员更好地利用链上数据和外部信息,从而更有效地打击加密货币领域的欺诈和非法活动。
区块链取证
钱包归因
开源情报
OSINT
跨链分析
交易追踪
somaxbt.eth
发布于 2025-09-07
阅读 ( 252 )
( 20 )
Web3中的DNS安全:攻击与监控设置解析
本文深入探讨了Web3领域中DNS安全的重要性,详细分析了域名劫持的各种攻击手段和实际案例,并针对Web3的特殊性,提出了相应的安全配置和监控建议,强调了加强域名安全对于防止资产损失和维护项目声誉的关键作用。
DNS劫持
web3安全
域名安全
社会工程学
域名注册商
域名服务器
web3secnews
发布于 2025-09-06
阅读 ( 318 )
( 17 )
绕过代码完整性检查以在本地后门植入Signal、1Password、Slack等应用
文章揭示了Electron应用中一个名为CVE-2025-55305的漏洞,该漏洞允许攻击者通过篡改V8堆快照文件,绕过代码完整性检查,从而在Signal、1Password、Slack和Chrome等应用中植入后门。尽管Electron提供了完整性检查机制,但默认未启用,且未能覆盖V8堆快照,使得攻击者能够利用此漏洞实现持久性的隐蔽攻击。
Electron
CVE-2025-55305
V8堆快照
代码完整性检查
后门
漏洞
Trail of Bits
发布于 2025-09-05
阅读 ( 381 )
( 13 )
重入漏洞完全实战指南
本文全面分析了重入漏洞,并通过可执行的示例介绍了各种攻击类型。
重入漏洞
Reentrancy
CEI模式
智能合约安全
以太坊
漏洞分析
Ackee
发布于 2025-09-04
阅读 ( 1360 )
( 76 )
‹
1
2
3
4
5
6
7
8
...
60
61
›
发表文章
我要提问
扫一扫 - 使用登链小程序
热门文档
»
Solidity 中文文档 - 合约开发
Foundry 中文文档 - 开发框架
Hardhat 中文文档 - 开发框架
ethers.js 中文文档 - 与链交互
Viem 中文文档 - 与链交互
web3.js 中文文档 - 与链交互
Anchor 中文文档 - 开发框架
以太坊改进提案EIP翻译
以太坊域名服务(ENS)文档
Etherscan API 手册 - 查询链上数据
热门百科
»
以太坊DApp
动态模型
不可篡改
权力集中
艺术市场
gas效率
利用率
BitBox02
dashboard
Arcium
计算预算
Oridinals
Rust编程
Small Brain Games
Code4rena
农业
Arkworks
Osmosis
常量
morph
OmniLayer
Discord机器人
交易优化
以太坊对象格式
中介
30天文章收益榜
»
Tiny熊
194 篇文章,553 学分
blockmagnates
101 篇文章,410 学分
Henry
102 篇文章,392 学分
Helius
157 篇文章,327 学分
寻月隐君
288 篇文章,322 学分
×
发送私信
请将文档链接发给晓娜,我们会尽快安排上架,感谢您的推荐!
发给:
内容: