全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

BlockThreat 周报 - 2025年第34周

本周加密货币领域损失约9140万美元,主要是一起网络钓鱼攻击导致。EIP-1967代理劫持事件频发,提醒开发者注意合约初始化原子性。Lazarus组织入侵Woo X,盗取1400万美元。新的iOS 0day漏洞被利用。此外,还涉及域名劫持、零日漏洞、密码管理器漏洞、加密犯罪报告、政府追回被盗资金、以及针对Dogecoin的攻击等。
网络钓鱼  EIP-1967  漏洞  安全  加密货币  iOS 

BlockThreat - 2025年第33周周报

本周要点包括:BtcTurk再次遭受热钱包攻击损失5170万美元;Coinbase因错误授权导致55万美元损失;Kraken因Monero遭受51%攻击暂停Monero存款。此外,还涉及朝鲜IT工作人员的网络犯罪活动、加密货币相关诈骗和恶意软件,以及针对Web3项目安全的研究和工具。
加密货币  安全漏洞  网络攻击  钓鱼  恶意软件  朝鲜IT工作人员 

通过混淆实现的安全通常是很差的安全

本文主要讨论了使用混淆技术来实现安全性的问题,作者通过举例说明了混淆技术在实际应用中的不足,并强调了在高度风险环境中,尤其是可能涉及生命损失的数据泄露事件中,必须采用数据加密和适当的访问控制。文章批评了使用隐藏标签等混淆手段的安全性,并强调了加密的重要性。
混淆  安全性  加密  数据泄露  恶意软件  JavaScript 

BlockThreat - 2025年第32周

本篇文章主要讨论了与加密货币相关的安全事件、漏洞和政策更新。内容涵盖 Tornado Cash 的法律风险,朝鲜黑客利用社交工程攻击加密项目的 TTPs,以及各种网络钓鱼、恶意软件和诈骗活动。此外,还包括对智能合约安全、AI 在代码审计中的应用以及相关工具的介绍。
Tornado Cash  网络钓鱼  恶意软件  智能合约安全  AI代码审计  朝鲜黑客 

USDT0 Polygon 集成审计

OpenZeppelin 对 Across 协议的 Polygon 合约进行了代码审计,以准备 USDT0 的推出。审计发现了两个中等严重性的问题:`Polygon_SpokePool` 中剩余过多的 gas,以及费用上限可能设置过低,可能导致跨链传输 USDT0 失败。这些问题已在后续的 pull request 中得到解决。
代码审计  跨链  Polygon  USDT0  LayerZero  OFT 

智能合约审计需要的思维模型

本文作者分享了智能合约安全审计的经验模型,强调了资源收集、智能合约概览、手动代码审查、功能测试、自动化审查、报告编写和修复代码审查等关键步骤。文章旨在帮助审计人员系统性地进行安全审计,并识别潜在的安全漏洞。
智能合约  安全审计  漏洞  代码审查  功能测试  自动化测试 

PoRv2:一种快速、透明的基于 ZK 的储备证明

本文介绍了PoRv2,一个基于零知识证明(ZKP)的快速、透明的储备证明系统,它结合了zk-proofs和Merkle树,允许用户在不需要外部审计的情况下验证交易所的负债。该系统使用plonky2 ZK算法,提高了效率和透明度,并提供了一个验证服务器以方便用户验证,旨在提高加密货币交易所的透明度和用户信任。
零知识证明  储备证明  zk-proofs  Merkle树  Plonky2  密码学  透明性 
  • osecio
  • 发布于 5天前
  • 阅读 ( 178 )
  • ( 4 )

托管乐观预言机审计

这是一篇OpenZeppelin对UMA协议的ManagedOptimisticOracleV2代码仓库进行安全审计的报告。 审计发现了一些低风险问题,包括货币默认不接受债券、错误触发事件、缺少白名单合约的接口验证、缺少测试套件等。同时,报告也提出了代码改进建议,并指出了文档中存在的一些不准确之处。UMA团队已解决或确认了大部分问题。
智能合约  安全审计  Optimistic Oracle  UMA协议  代码审查  访问控制 

构建安全 Noir 电路的开发者指南

本文深入探讨了使用 Noir 构建零知识证明(ZKP)应用时常见的安全漏洞。文章详细分析了逻辑错误、有限域算术陷阱、意图与实现不符以及隐私泄露这四大类问题,并提供了具体的代码示例和审计关注点,旨在帮助开发者构建更安全可靠的 Noir 电路。
零知识证明  Noir  安全漏洞  有限域算术  隐私泄露  电路设计 

零时科技 || Equilibria 攻击事件分析

我们监控到 Ethereum 上针对 Equilibria 的攻击事件,本次攻击共造成约 63k USD 的损失。
黑客攻击  攻击事件  区块链安全 

威胁情报:Clickfix网络钓鱼攻击

该文章分析了一种名为Clickfix的网络钓鱼攻击,攻击者通过模仿常见的机器人验证,诱骗用户执行恶意命令,从而下载恶意软件。恶意软件具有信息窃取、键盘记录和C2通信等行为,最终目的是窃取用户的敏感数据,包括加密货币钱包私钥。建议开发者和用户对不熟悉的命令保持警惕,并在隔离环境中执行调试或命令。
Clickfix  网络钓鱼  恶意软件  信息窃取  键盘记录  C2通信 

利用图像缩放攻击生产环境中的AI系统

本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像,利用图像缩放算法的特性,在图像缩小时嵌入恶意提示,实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证,并提供了防御建议和开源工具Anamorpher。
图像缩放攻击  多模态提示注入  数据泄露  AI安全  Anamorpher  Gemini CLI 

你可能用错了 WebView:移动开发者常见的安全隐患

本文深入探讨了加密货币钱包应用中 WebView 的安全问题,重点分析了用户界面攻击、来源欺骗和消息拦截这三种常见漏洞,并提供了相应的防御措施。文章强调了在 WebView 环境下维护信任关系的重要性,以及开发者在设计钱包应用时需要注意的关键安全事项,例如清晰区分可信与不可信的UI元素,全面考虑双向通信桥的攻击面,以及进行广泛的跨平台测试。
WebView  安全漏洞  加密货币钱包  用户界面攻击  来源欺骗  消息拦截 
  • zellic
  • 发布于 2025-08-22
  • 阅读 ( 778 )
  • ( 42 )

Coinbase 2025 年 5 月事件中的运营安全教训

Coinbase 遭受了一起数据泄露事件,起因是不良行为者收买海外客服人员出售客户数据,攻击者利用获取的信息进行进一步的社会工程攻击。文章强调了零信任架构的重要性,以及数据分类和权限管理在保护敏感数据方面的作用。Web3 技术需要采用更严格的安全措施,才能吸引传统机构和主流投资者。
数据泄露  社会工程攻击  零信任架构  数据分类  权限管理  Web3 安全 
  • Certora
  • 发布于 2025-08-21
  • 阅读 ( 122 )

Echidna 验证与探索模式:利用 hevm 增强的符号执行

Echidna 通过集成 hevm 增强的符号执行能力,引入了两种新模式:验证模式(用于无状态测试,旨在证明不存在错误)和探索模式(结合符号执行与模糊测试,用于识别状态变化中的断言失败)。文章通过实例展示了这两种模式的应用,并讨论了符号执行的局限性以及未来的改进方向,例如改进用户界面、自动提取参数边界和建立基准测试。
Echidna  符号执行  模糊测试  hevm  智能合约安全  形式验证 

Solidity 弱随机数的不安全性

本文介绍了在Solidity中生成随机数的常见需求和挑战,解释了为什么直接使用链上数据(如block.timestamp和blockhash)是不安全的,并通过一个具体的漏洞合约示例展示了攻击者如何利用这些弱点。最后,文章强调了使用可验证的随机数预言机(如Chainlink VRF)的重要性,以确保智能合约应用的公平性和安全性。
Solidity  随机数  智能合约  安全漏洞  Chainlink VRF  区块链安全 

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤

本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明  Rollup  安全性  完备性  有效性  OP Stack