全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

OKX研究院 | 账户抽象10年演进终局之战,透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
eth  Vitalik  账号抽象 
  • 十四君
  • 发布于 2025-05-13
  • 阅读 ( 1009 )
  • ( 29 )

如何管理 TimelockController 的角色 - OpenZeppelin 文档

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约,用于在操作排队和执行之间强制实施延迟,以提高去中心化治理的安全性。通过 Defender,用户可以导入 TimelockController 合约,创建提案,授予和撤销角色,从而实现对合约权限的集中管理。
TimelockController  OpenZeppelin Defender  访问控制  角色管理  提案  智能合约 

如何跟踪你作为安全研究员的进步

本文作者分享了一种用于跟踪安全研究员成长的新方法,避免使用排行榜,而是使用包括 hit rate 和覆盖率等通用指标以及用于分类漏洞的漏洞范围界定,根据这些信息来优化审计策略。作者还分享了一个Google Sheet 模版用于量化跟踪。
安全研究  漏洞  审计策略  Hit Rate  覆盖率  Bug Scoping 

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞:RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
  • BitsLab
  • 发布于 2025-05-12
  • 阅读 ( 536 )
  • ( 8 )

编写自动化智能合约测试 - OpenZeppelin 文档

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境(使用本地区块链)、编写单元测试(使用Chai断言库),以及执行复杂断言的方式(使用OpenZeppelin Test Helpers)。文章还提及了持续集成服务(如CircleCI)的设置,以便每次提交代码到GitHub时自动运行测试。
智能合约  自动化测试  单元测试  Chai断言库  OpenZeppelin Test Helpers  本地区块链 

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
以太坊  交易模拟  Calldata  UI欺骗  Foundry  Python 
  • Cyfrin
  • 发布于 2025-05-10
  • 阅读 ( 914 )
  • ( 25 )

常见问题 - OpenZeppelin 文档

本文是关于OpenZeppelin升级插件的常见问题解答,涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。
OpenZeppelin  升级插件  代理  Solidity  delegatecall  selfdestruct  ProxyAdmin  实现合约 

Damn Vulnerable DeFi V4 解决方案 - #7. 受损

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据,解码出两个预言机报告者的私钥,攻击者可以利用这些私钥操纵NFT价格,低价购买后再以高价卖出,从而获利。
DeFi  漏洞利用  私钥泄露  预言机  价格操纵  Damn Vulnerable DeFi 

在基于角色的访问控制智能合约中修改和分配角色 - OpenZeppelin Docs

本文介绍了如何使用 OpenZeppelin Defender 管理智能合约中的角色权限,包括添加合约、查看和修改角色。通过一个基于角色的访问控制(RBAC)智能合约示例,演示了如何创建合约、分配和撤销角色,以及如何使用 Defender 的地址簿和交易提案功能进行操作。主要目的是帮助用户了解如何使用 Defender 有效地管理和控制智能合约的访问权限。
OpenZeppelin Defender  访问控制  角色管理  智能合约  权限管理  Sepolia 

解码以太坊交易以防止UI欺骗

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据,用户可以验证交易的意图,防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程,并提供了一个Python脚本来自动化calldata分析,最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。
Calldata  UI欺骗  以太坊  ERC-20  交易解码  安全 
  • Cyfrin
  • 发布于 2025-05-08
  • 阅读 ( 780 )
  • ( 21 )

Damn Vulnerable DeFi 漏洞解决方案 — #4. 侧门攻击

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”,允许攻击者利用闪电贷,先借出资金并存回,然后在合约账户中获得信用,最后提取所有资金。文章提供了攻击流程以及相应的解决方案,并提出了预防措施,即闪电贷合约应使用transferFrom()函数从用户合约提取资金。
以太坊  智能合约  漏洞  闪电贷  重入攻击  安全 

如何使用 MistTrack 查找恶意地址

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址,以检测恶意地址。
MistTrack  QuickNode  AML  恶意地址  风险评分  地址标签  反洗钱 
  • QuickNode
  • 发布于 2025-05-07
  • 阅读 ( 974 )
  • ( 26 )

Damn Vulnerable DeFi 解决方案——#1. Unstoppable

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战,该挑战通过操纵会计系统实现拒绝服务攻击。
ERC4626  拒绝服务  DoS  闪贷  不变量  漏洞分析 

共识与区块链:Web3的经济安全性 – ImmuneBytes

本文深入探讨了区块链共识机制及其安全性影响,讨论了工作量证明(PoW)、权益证明(PoS)及其变种、拜占庭容错(BFT)等机制的优缺点和安全风险,并通过案例研究分析了以太坊经典、Solana和Avalanche等区块链网络中出现的共识失败事件,最后展望了未来Web3安全共识的发展方向。
共识机制  区块链安全  工作量证明  权益证明  拜占庭容错  web3安全 

【安全月报】| 4月份因黑客攻击、诈骗等导致损失约3.57亿美元

4月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 3.57 亿美元,其中绝大多数(3.18亿美元)与网络钓鱼攻击有关。
黑客攻击  网络钓鱼  web3安全  加密货币 

Web3审计:不仅仅是寻找漏洞 – ImmuneBytes

文章讨论了Web3安全审计的重要性,强调了智能合约审计在防止黑客攻击和漏洞利用方面的关键作用。文章还探讨了审计师的角色,有效的审计流程,以及未来审计在安全设计咨询、实时监控、形式化验证和安全教育等领域的发展方向。
Web3  安全审计  智能合约  漏洞  代码安全  形式化验证 

揭示GameFi安全性:常见威胁和可靠解决方案

本文深入分析了GameFi领域面临的安全挑战,包括智能合约漏洞、token和NFT的风险以及跨链桥的漏洞,还讨论了链下安全问题,如基础设施漏洞和钓鱼攻击。文章提供了开发者和玩家可采取的缓解策略,并展望了GameFi安全性的未来,强调了AI驱动的安全、改进的代币经济模型和监管的重要性。
GameFi  区块链安全  智能合约  NFT  跨链桥  安全漏洞 

Solodit检查清单详解:矿工攻击

本文解释了矿工攻击,即验证者如何利用智能合约中的 block.timestamp、随机性和交易排序。文章详细讨论了三种攻击类型:使用 block.timestamp 进行时间敏感操作的风险、使用区块属性生成随机数、以及交易排序敏感性。针对每种攻击,文章都提供了示例代码、漏洞解释、缓解措施以及测试用例,旨在帮助开发者保护智能合约免受这些微妙但潜在破坏性的攻击。
矿工攻击  block.timestamp  随机数生成  交易排序  前置交易  三明治攻击  MEV 
  • Cyfrin
  • 发布于 2025-05-02
  • 阅读 ( 749 )
  • ( 18 )

可扩展的`Safe`架构

本文档描述了一种可扩展的Safe架构,旨在增加Safe的新颖集成和应用。该架构通过ExtensibleFallbackHandler实现,允许自定义方法调用和EIP-712签名验证,同时保持与现有Safe功能的向后兼容性,例如ERC-1271签名和Token回调,从而扩展Safe的功能,并允许更灵活的交互方式。
SafeProxy  ExtensibleFallbackHandler  EIP-712  代理合约  智能合约  签名验证 

Solana安全事件历史:深入研究

本文详细分析了2020年至2025年4月Solana生态系统中发生的主要安全事件,包括应用层漏洞、供应链攻击和核心协议问题。
Solana  漏洞  攻击  DeFi  安全事件  区块链安全