全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

网络安全新纪元:欢迎来到量子稳健云

文章主要介绍了AWS KMS云服务开始支持Post-Quantum Cryptography (PQC) 的签名算法,特别是ML-DSA。作者分享了在AWS上使用ML-DSA签名密钥的实践过程,包括如何创建、配置以及通过AWS CLI进行操作。最后,作者表达了对PQC技术在云安全领域应用的乐观态度,并展望了未来基于格和哈希签名的新型数字信任体系。
Post-Quantum Cryptography  PQC  ML-DSA  AWS KMS  云安全  密钥管理 

零知识虚拟机(zkVM)简介

本文是零知识虚拟机(zkVM)安全系列的第一篇文章,主要介绍了zkVM的基本概念、工作原理及其在可验证计算中的作用。文章还简要介绍了zkEVM及其在区块链中的应用,并概述了该系列后续文章的主题,旨在为零知识领域的研究人员和zkVM开发者提供有用的安全指导。
零知识证明  虚拟机  zkVM  zkEVM  可验证计算  RISC Zero 
  • Veridise
  • 发布于 4天前
  • 阅读 ( 364 )
  • ( 11 )

Code4rena 将免费举办审计竞赛

Code4rena 将对其所有的审计竞赛免除平台费用,致力于提高整个加密行业的安全性。竞赛平台应作为公共产品存在,而非寻求租金的业务。Zellic 通过传统的私有审计盈利,并将 Code4rena 视为人才管道,持续投资于平台和社区。
  • zellic
  • 发布于 4天前
  • 阅读 ( 78 )

如何无痛进行链上大额转账

本文探讨了链上大额转账存在的痛点,以及一些解决思路
区块链  钱包  CEX 
  • 卡卡
  • 发布于 2025-06-15
  • 阅读 ( 455 )
  • ( 14 )

BASE Commerce Payments 协议的安全性分析

该文档是关于BASE Commerce Payments协议的安全性分析。内容包括安全审计报告的列表,协议如何通过密码学签名、哈希、时间锁等机制来保证支付安全,以及针对潜在风险(如操作员被攻击、恶意Token收集器、因黑名单导致的拒绝服务)的缓解措施。协议设计目标是最小化对任何单一实体的信任,同时最大化对所有参与者的保护。
安全审计  协议安全  操作员  TokenStore  支付安全  风险缓解 
  • base__
  • 发布于 2025-06-13
  • 阅读 ( 174 )
  • ( 5 )

Solodit Checklist详解:重放攻击

本文主要介绍了重放攻击的概念、原理以及防范措施。重放攻击是指攻击者恶意重复使用有效的交易或签名,从而导致未经授权的状态变更。文章通过Solodit Checklist中的两个条目,详细讲解了如何利用nonce、链ID和域名分隔符等技术手段,防止重放攻击,从而保障智能合约的安全。
重放攻击  nonce  链ID  EIP-712  域名分隔符  签名 
  • cyfrin
  • 发布于 2025-06-11
  • 阅读 ( 198 )
  • ( 10 )

Helius 获得 SOC 2 Type II 认证

Helius宣布成功完成SOC 2 Type II审计,获得Sensiba LLP的“clean”审计意见。这表明helius在安全性、可用性、处理完整性、保密性和隐私性方面符合高标准,并承诺持续提升Solana生态系统的安全性和合规性。同时,helius也欢迎用户报告其系统的安全漏洞。
SOC 2  审计  Solana  安全  合规性  数据安全 
  • Helius
  • 发布于 2025-06-06
  • 阅读 ( 254 )
  • ( 7 )

2025年6月区块链安全与教育新闻简报

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报,内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。
区块链安全  DeFi  漏洞  模糊测试  智能合约  Web3 安全 
  • cyfrin
  • 发布于 2025-06-05
  • 阅读 ( 397 )
  • ( 25 )

SUI生态DEX #Cetus 受攻击,代码安全审计真的足够吗?

此次Cetus受攻击的原因及影响暂时还不清楚,我们可以先看一下Cetus的代码安全审计情况。外行咱们看不懂具体的技术,但是这个审计摘要是能看懂的。➤Certik的审计来看,Certik对Cetus的代码安全审计,只发现2个轻度危险、且已解决。还有9个信息性风险,6个已解决。Cer
  • TVBee
  • 发布于 2025-06-04
  • 阅读 ( 377 )
  • ( 15 )

Solodit清单详解:重入攻击

本文深入探讨了智能合约中重入攻击的原理、危害以及防御方法。文章通过具体的代码示例,详细解释了经典重入攻击和只读重入攻击的利用方式和防范措施,强调了Check-Effects-Interactions模式和重入锁Guard在保障智能合约安全中的重要性。尤其针对view函数在特定情况下可能返回过期数据的问题提出了应对方案。
重入攻击  智能合约  Check-Effects-Interactions  重入锁  ReentrancyGuard  只读重入 
  • cyfrin
  • 发布于 2025-06-04
  • 阅读 ( 370 )
  • ( 25 )

代码中的数学确定性:为何智能合约形式化验证不可或缺

本文探讨了形式化验证在智能合约开发中的重要性,通过数学证明来确保代码的正确性,从而避免因漏洞造成的巨大经济损失。文章通过案例分析(如DAO和Parity Wallet漏洞)强调了形式化验证的必要性,并介绍了Chronos Vault如何利用多层数学验证框架和先进技术来保障智能合约的安全性。
形式化验证  智能合约  区块链安全  数学证明  漏洞预防  Chronos Vault 

区块链数据的可扩展不经意访问

本文讨论了加密货币中最大可提取价值(MEV)的问题,以及如何使用可信执行环境(TEE)和不经意随机存取存储器(ORAM)来缓解MEV攻击。文章介绍了Flashbots的BuilderNet架构和Oblivious Labs在实现私有订单流和数据访问层面的工作,以保护用户隐私和防止信息泄露。
MEV  可信执行环境  TEE  不经意随机存取存储器  ORAM  隐私 
  • flashbots
  • 发布于 2025-06-03
  • 阅读 ( 363 )
  • ( 22 )

【安全月报】| 5月份因黑客攻击、诈骗等导致损失约1.82亿美元

5月加密货币领域因黑客攻击、诈骗和漏洞利用损失约 1.82 亿美元
黑客攻击  网络钓鱼  加密货币 

代理 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库中关于代理(Proxy)模式的各种实现,包括基本代理、ERC1967代理、透明代理(Transparent Proxy)和 UUPS 代理,以及 Beacon 代理和最小克隆代理。
代理模式  可升级代理  EIP1967  透明代理  UUPS代理  Beacon代理 

20 亿美元的跨链桥难题:为何跨链安全是区块链的最终 Boss

Chronos Vault 提出了一种名为 Trinity Bridge 的新型跨链桥解决方案,旨在解决传统桥在安全性、速度和去中心化方面面临的“不可能三角”问题。Trinity Bridge 通过在以太坊、Solana 和 TON 三个独立的区块链网络上达成共识,并结合零知识证明、量子安全加密和实时威胁检测等先进技术,提供数学上可证明的安全保障,从而避免了以往桥遭受的重大攻击。
跨链桥  区块链安全  零知识证明  量子安全  多链共识  威胁检测 

近期 Web3 安全问题 季刊#3

本篇文章总结了近期Web3领域出现的一些安全漏洞和安全事件,主要分析了不一致的Scaling问题,包括MBU Token由于Scaling不匹配导致攻击者获利200万美元,以及Across Protocol在Gas Token金额计算中错误的十进制Scaling导致超额收费。
web3安全  智能合约  漏洞  攻击  Scaling  执行钩子 

SipHash 快速哈希算法 与 WASM

本文介绍了SipHash算法,它是由JP Aumasson和Daniel J Bernstein (djb)共同设计的一种快速哈希算法,旨在解决哈希表在面对拒绝服务(DoS)攻击时的脆弱性。SipHash通过密钥哈希的方式,在保证速度的同时,提供了较好的安全性,尤其适用于网络应用和WebAssembly (WASM)等场景,且比HMAC更快。
SipHash  哈希算法  拒绝服务攻击  WASM  密钥哈希  libsodium 

超越智能合约:深入探讨区块链基础设施安全审计

本文探讨了区块链基础设施安全的重要性,解释了它与智能合约安全的不同之处,并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险,例如验证节点、数据可用性层、执行客户端和P2P网络,以及如何采用系统性的方法来识别和缓解这些风险,确保区块链网络的整体安全。
区块链  基础设施  安全审计  智能合约  攻击面  漏洞 

Beraborrow 被遗漏的漏洞

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞,该漏洞通过模糊测试发现,但在安全竞赛中被遗漏。该漏洞与舍入误差有关,导致每个 Vault 份额的价格意外下降,从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。
模糊测试  Beraborrow  Liquity  Recovery Mode  舍入误差  ERC4626 
  • Recon
  • 发布于 2025-05-29
  • 阅读 ( 465 )
  • ( 20 )

从Web3开发者到智能合约审计员:当已知标准背叛你

本文分析了多个利用智能合约标准(如ERC777、ERC20 Permit、ERC1155、EIP-2535等)漏洞进行攻击的案例,强调即使是社区认可的标准也可能存在风险。攻击手段包括利用callback检查缺失、输入验证不足、扩展调用问题、代理合约变量存储错误、以及approve/transferFrom中的竞争条件等,并建议采取多层次验证措施,如单元测试、模糊测试和模拟攻击,以降低漏洞风险。
智能合约安全  ERC-20  ERC-777  ERC-1155  EIP-2612  EIP-2535  漏洞  攻击  重入攻击  代理合约