全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Stellar合约库0.1.0审计

本文对OpenZeppelin的Stellar Contracts Library进行了审计,重点分析了其可用性和安全性,识别出若干高、中、低严重性的问题,并提出优化建议。审计结果显示,库在开发过程中的灵活性和安全性设计良好,适用于Stellar区块链上智能合约的开发。
审计  Stellar  智能合约  开放zeppelin  安全性  Rust 

Solana多重签名安全性

本文探讨了在Solana多重签名环境中,当部分签名者被攻击时,如何安全地进行交易签名。文章分析了Solana的两种签名方式:基于最近区块哈希的签名和基于持久nonce的签名,并提出了一种在允许签名者观察交易手续费支付者的前提下,通过等待区块哈希过期并观察链上交易来确保安全签名的流程。总结了在签名者无法完全信任的环境下,确保交易安全性的关键在于可观察性。
Solana  多重签名  安全  交易签名  区块哈希  Durable Nonce 
  • osecio
  • 发布于 2025-02-22
  • 阅读 ( 394 )

揭露并修复Aleo中的一个通胀漏洞 - ZKSECURITY

本文揭示了2024年11月在Aleo主网上发现的一个严重通胀漏洞的细节,该漏洞源于不安全的输入/输出提交方式,可能导致攻击者绕过最终确认逻辑,非法铸造代币。漏洞发现后,立即报告给Aleo团队并迅速修复,未发现实际利用。修复方案通过增加显式检查确保交易输入/输出数据类型的正确性。
Aleo  零知识证明  ZKP  漏洞  安全  通胀 

区块链安全常见的攻击分析——存储冲突漏洞(Storage Collision Vulnerability)【16】

1、存储冲突漏洞(StorageCollisionVulnerability)在代理合约模式中,代理合约和逻辑合约共享同一存储空间。当代理合约将调用委托给逻辑合约时,逻辑合约中的变量实际写入的是代理合约的存储槽位。如果代理合约和逻辑合约都在槽位0存储关键数据(例如代理合约存储实现地址,而逻
  • XUYU
  • 发布于 2025-02-18
  • 阅读 ( 1408 )
  • ( 43 )

隔离见证是如何彻底解决交易延展性攻击的

隔离见证是如何彻底解决交易延展性攻击的
隔离见证  延展性攻击 

zkLend黑客攻击的深入分析与EraLend黑客攻击的关联

本文分析了2025年2月zkLend平台遭受攻击事件的细节,攻击者利用闪电贷机制操纵了市场累积值并通过舍入错误进行了资产盗窃,导致近1000万美元的损失。文中提供了详尽的攻击步骤、根本原因以及改进建议,以加强区块链平台的安全性。
闪电贷  市场累积器  安全漏洞  资产盗窃  区块链攻击 
  • slowmist
  • 发布于 2025-02-15
  • 阅读 ( 709 )
  • ( 8 )

利用EIP-7702和不可撤销签名解锁链抽象EOA

文章探讨了不可撤销签名在链抽象中的重要性,特别是对于EOA和智能账户。智能账户允许密钥轮换,但会损害不可撤销签名。而Omni Account通过确保智能账户和智能EOA都能在同一系统下进行链抽象,从而解决了这些问题。EIP-7702下的智能EOA会受到损害,需要仔细处理以防止双重支付攻击。
不可撤销签名  链抽象  智能账户  智能EOA  EIP-7702  Omni Account 

基于 Recon 与 Medusa 构建不变量测试

本文介绍了使用Medusa和create-chimera-app工具进行智能合约的不变量测试方法。不变量测试是一种高级集成测试手段,通过生成随机调用序列来检查合约内的某些不变量是否保持。文章详细介绍了不变量测试的基本原理、Medusa工具的工作流程,以及如何使用create-chimera-app框架搭建测试脚手架,并通过案例演示如何利用这些工具解决智能合约中的漏洞。
不变量测试  Medusa  智能合约  模糊测试  Solidity  create-chimera-app 

不变性驱动开发的需求

本文介绍了不变性驱动开发(Invariant-Driven Development)在智能合约安全中的重要性。通过在软件开发生命周期的每个阶段嵌入不变性——必须始终保持的关键属性,从而显著提高智能合约的鲁棒性。文章阐述了不变性的定义、类型,以及如何在设计、实现、测试、验证和监控等阶段应用不变性驱动开发,以构建更安全的智能合约。
智能合约  不变性  安全  形式化验证  模糊测试  Invariant 

OpenZeppelin Upgrades Core & CLI - OpenZeppelin 文档

本文档介绍了OpenZeppelin Upgrades Core库和CLI工具,用于检测智能合约的升级安全性及存储布局兼容性。重点介绍了CLI的validate命令,以及High-Level API和Low-Level API的使用方法,包括环境配置、参数说明和返回结果,方便开发者在开发流程中尽早发现和解决潜在的升级问题。
OpenZeppelin  升级  智能合约  安全性  存储布局  validate命令 

零时科技 || Four.meme 攻击事件分析

我们监测到four.meme项目遭受黑客攻击,造成的损失约 15, 000 USD 。
黑客攻击  攻击事件  web3安全 

Web3 安全审计师回顾2024 年安全问题

Web3 安全审计师回顾2024 年安全问题
Web3  区块链安全 

终极 Web3 安全路线图:如何成为 Web3 审计师

这篇文章详细阐述了Web3安全审计员的职业路径与必要技能,为没有编码背景的读者提供了入门的 roadmap。文章强调了Web3安全的重要性、可观的收入潜力以及如何通过逐步学习与实践来实现这一职业目标。通过各种学习资源和实践机会,读者可逐步掌握必要的技能,迈向成功的Web3审计师之路。
web3安全  智能合约  审计  Solidity  路线图  安全审计 

零时科技 || IonicMoney 攻击事件分析

我们检测到 Mode Chain 上针对 Ionic Money 的一系列攻击,本次攻击共损失约 8.5 MUSD 。
黑客攻击  web3安全  攻击事件 

【安全月报】| 1月份因漏洞、黑客和诈骗造成的损失约为9800万美元

2025年1月因漏洞、黑客和诈骗造成的损失约为9800万美元,发生28次加密货币黑客攻击,其中约800万美元归因于网络钓鱼。
安全月报  黑客攻击  攻击事件 

2025年防止中心化加密货币交易所上的账户盗用

该博客文章重点介绍了新的白皮书《防止中心化加密货币交易所上的账户盗用》中的关键点,该白皮书记录了专门针对 CEX 的 ATO 相关攻击媒介和防御措施。文章讨论了攻击者如何利用 CEX 的安全漏洞盗取用户账户,并介绍了CEX应该采取哪些安全措施来保护用户账户和资金安全,包括加强技术安全机制、流程和文档。
账户盗用  中心化加密货币交易所  安全控制  多因素身份验证  网络钓鱼  SIM卡交换 

实用工具 - OpenZeppelin 文档

本文介绍了OpenZeppelin Contracts库中常用的实用工具,包括密码学(ECDSA签名验证、Merkle证明验证),合约自检(ERC165接口检测),数学运算(SafeMath安全计算),支付(PaymentSplitter、PullPayment、Escrow),集合(EnumerableSet、EnumerableMap)以及其他实用工具(Address, Counters)。
ECDSA  Merkle树  ERC165  SafeMath  PaymentSplitter  EnumerableMap 

审计 Pump.fun 克隆的经验教训

本文作者分享了对一个 pump.fun 风格的代码库及其后端的审计经验。重点关注了后端代码的三个主要功能:从 bonding curve 中提取代币、创建 Raydium 池并迁移流动性、以及销毁剩余代币和灰尘代币。文中详细描述了在代币 decimal 处理、后端宕机处理和 JITO 捆绑交易处理中发现的几个关键问题,强调了对后端系统进行安全审计的重要性。
安全审计  Solana  pump.fun  Raydium  Jito  bonding curve 

OpenZeppelin Monitor - OpenZeppelin 文档

本文档介绍了 OpenZeppelin Monitor,它是一种区块链监控服务,可以实时监控链上活动,并根据配置的条件触发通知。
区块链监控  实时监控  智能合约  EVM  Stellar  安全通知 

智能合约审计介绍 – ImmuneBytes

本文介绍了智能合约审计的重要性,它是一种全面的审查,旨在发现智能合约中的设计缺陷、代码错误或安全漏洞。文章详细讲解了审计的流程,包括需求收集、单元测试、自动化代码分析、人工代码审查和报告生成。此外,还讨论了审计的成本、必要性以及带来的好处,强调了审计对于保护用户资金、提升项目信誉的重要性。
智能合约  审计  安全漏洞  代码审查  区块链  DeFi