全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 573 )
  • ( 14 )

安全 - Fiamma Bridge审计

该文章是OpenZeppelin对Fiamma Bridge的BitVMBridge合约进行的安全审计报告。报告总结了审计过程中发现的1个高危漏洞以及多个中低危问题,包括潜在的wrapped BTC损失、未经验证的参数、代码可读性问题等。所有发现的问题均已在后续的PR中得到解决。文章最后强调了加强链上验证、增加测试覆盖率的重要性。
智能合约  安全审计  比特币桥  漏洞  BitVM  以太坊 

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 849 )
  • ( 18 )

【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元

2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击  钓鱼攻击  web3安全 

慢雾月度安全报告:7月损失估计达1.47亿美元

2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全  智能合约漏洞  交易所攻击  钓鱼攻击  供应链攻击  区块链安全 
  • slowmist
  • 发布于 2025-08-02
  • 阅读 ( 474 )
  • ( 19 )

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全 

智能合约安全第六部分:保护以太坊智能合约免受矿工操纵

本文探讨了以太坊智能合约中矿工操纵攻击的风险,详细解释了攻击原理和常见手段,并通过一个易受攻击的 lottery 合约实例进行了演示。为了应对这种风险,文章建议采用 Chainlink VRF 等安全随机数生成方案,以及 commit-reveal 等机制来提高合约的安全性,并避免使用矿工可控的变量。
矿工操纵  Chainlink VRF  智能合约安全  以太坊  随机数生成  Commit-Reveal机制 

【引介】 OpenZeppelin Contracts MCP:AI 驱动的智能合约开发

OpenZeppelin 发布 Contracts MCP,这是一个基于服务器的引擎,旨在将 OpenZeppelin Contracts 的安全性和编码规则直接集成到 AI 驱动的开发工作流程中。
OpenZeppelin  Contracts MCP  智能合约  AI  Solidity  Cairo  Stylus  Stellar 

零时科技 || RareStaking 攻击事件分析

我们监控到 Ethereum 上针对 RareStaking 的攻击事件,攻击共造成25.8kUSD 的损失
黑客攻击  web3攻击  区块链安全 

Rebase 类型代币局限性:舍入误差与拒绝服务攻击问题

本文深入探讨了Rebase代币的漏洞与局限性,分析了由于Solidity语言特性以及EVM的限制,在智能合约中可能出现的舍入误差问题,并探讨了针对智能合约的拒绝服务(DoS)攻击及其防范措施。文章还强调了开发者和审计人员在Web3安全中的作用。
Rebase代币  舍入误差  拒绝服务攻击  智能合约  Solidity  EVM 

使用 Halmos 进行现代不变性测试

本文介绍了使用 Halmos 工具进行智能合约状态不变性测试的演变过程。首先通过在无状态测试中模拟状态变化来实现,然后利用 Halmos 提供的 cheatcode 简化了测试代码,并加入了快照状态的机制以优化性能。最后展示了 Halmos v0.3.0 版本如何原生支持状态不变性测试,极大地简化了测试流程,并提供了升级和使用 Halmos 的方法。
智能合约  形式化验证  不变性测试  Halmos  SMT solving  状态空间探索 

Crown BRL 稳定币审计

这是一篇OpenZeppelin对 crown-xyz 项目的 BRL 稳定币智能合约代码的审计报告。该报告评估了 BRLV, BRLY, YieldStripping, wBRLY 等合约,发现了一些低风险问题和建议,例如代码注释错误、缺少文档字符串、命名规范问题、未使用变量和多余的import。审计未发现任何严重或高风险漏洞。
智能合约审计  OpenZeppelin  BRL稳定币  Solidity  安全漏洞  代码质量  重构代币 

BlockThreat 周报 - 2025年第30周

本周发生了三起安全事件,损失超过 1500 万美元,其中大部分损失来自 Woo X 交易所被攻击。对Roman Storm的Tornado Cash审判由于错误的区块链追踪和对去中心化智能合约的误解而陷入困境。文章还列举了近期发生的安全事件、网络犯罪、钓鱼攻击、诈骗以及恶意软件等,并推荐了一些安全工具。
安全漏洞  智能合约  区块链安全  交易所攻击  网络钓鱼  恶意软件 

为什么 Keystone 要实现 Shamir 备份

本文介绍了 Keystone 硬件签名器实现的 SLIP39 Shamir 备份标准,该标准允许将种子词分割成多个片段,并设定阈值,只有达到阈值数量的片段才能恢复钱包。文章讨论了Shamir备份的优点、缺点,以及使用建议,例如,提醒用户在转入大量比特币之前先进行练习,并定期执行安全检查。
Shamir 备份  SLIP39  种子词  KeyStone  硬件签名器  私钥分割 
  • BTCStudy
  • 发布于 2025-07-26
  • 阅读 ( 647 )
  • ( 6 )

去中心化物理基础设施网络(DePIN)安全最佳实践

本文讨论了去中心化物理基础设施网络(DePIN)的安全最佳实践。DePIN 将物理服务与区块链基础设施相结合,面临智能合约漏洞以外的独特攻击面,包括编排系统、物理设备、治理过程和行为激励。文章提出了一个全面的安全模型,涵盖 DePIN 协议的整个生命周期,强调风险评估、对抗性建模和跨层可见性。
DePIN  安全模型  智能合约  风险评估  物理基础设施  安全 
  • cantina
  • 发布于 2025-07-25
  • 阅读 ( 797 )
  • ( 30 )

威胁情报:恶意Solana开源交易机器人分析

该文章分析了一个恶意Solana开源交易机器人的威胁情报。攻击者通过伪装成合法的开源项目,诱使用户执行恶意代码,该代码会窃取存储在本地.env文件中的私钥,并将其传输到攻击者控制的服务器。文章通过静态分析和动态分析,揭示了攻击的原理、恶意代码的位置,并给出了安全建议。
Solana  恶意机器人  私钥泄露  威胁情报  开源项目  社会工程 
  • slowmist
  • 发布于 2025-07-23
  • 阅读 ( 726 )
  • ( 29 )

GMX攻击分析&基于Wake的攻击场景复现

该分析详细介绍了GMX协议遭受的4200万美元攻击事件,攻击源于跨合约重入漏洞,该漏洞绕过了增加仓位时的访问控制。攻击者利用此漏洞操纵GLP代币价格,使其价格升高,从而以操纵后的价格赎回代币,并从协议中提取利润。文章还提供了一个可重现攻击场景的工作示例,用于教育目的。
GMX  重入漏洞  GLP代币  价格操纵  智能合约  跨合约调用 
  • Ackee
  • 发布于 2025-07-23
  • 阅读 ( 358 )
  • ( 4 )

2025年如何实施有效的MEV保护

本文讨论了2025年区块链生态系统中最大可提取价值(MEV)的管理和保护。文章分析了MEV是什么,以及它如何影响区块链的公平性和效率,深入探讨了各种MEV提取策略,如套利、三明治攻击、清算和JIT流动性,并提供了MEV检测的代码示例。此外,还介绍了高级MEV保护实施方法。
最大可提取价值  MEV  三明治攻击  抢跑交易  闪电机器人  区块链 

1inch协议手续费审计

该文档是OpenZeppelin对1inch Fusion和Limit Order Protocols的代码审计报告。
智能合约审计  Solidity  OpenZeppelin  1inch  手续费  荷兰拍 

可升级智能合约系列:第二部分 - 顶级智能合约漏洞与真实世界的攻击

本文探讨了可升级智能合约中存在的关键风险,包括未初始化的代理、存储冲突和恶意升级。通过分析Wormhole、Parity Multisig Wallet、AllianceBlock和Audius Governance等真实案例,强调了在升级过程中可能出现的安全漏洞以及由此可能造成的严重后果,并为开发者提供了避免这些常见陷阱的建议。
可升级合约  智能合约  代理模式  存储冲突  安全漏洞  以太坊