全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

掌握 Solidity 中的访问控制

本文深入探讨了Solidity智能合约中访问控制的重要性,以及如何通过适当的访问控制机制来防御潜在的安全漏洞。
Solidity  访问控制  安全漏洞  OpenZeppelin  智能合约  权限管理 

保守秘密的代价有多高?

本文介绍了如何使用 AWS Secrets Manager 安全地存储和检索密钥,如数据库密码和API密钥,并通过示例展示了如何创建、更新、检索、删除密钥,以及使用Python访问密钥。使用 Secrets Manager 可以集中管理密钥,方便密钥轮换,提高应用安全性。
AWS Secrets Manager  密钥管理  密钥存储  密钥轮换  数据库密码  API密钥 

第二十二条军规:扫描被入侵的公钥

本文主要介绍了研究人员开发的一种用于识别SSH服务器是否被入侵的方法,该方法通过检查服务器上是否存在特定的恶意公钥来实现,而无需实际访问服务器。研究发现,大量系统存在已知的恶意公钥,从而揭示了潜在的安全风险,并讨论了RSA和Ed25519密钥的格式和使用。
SSH  公钥  入侵检测  RSA  Ed25519  OpenSSH 

保护基于零知识证明Rollup免受通过验证的无效提案 - 魔法师 / 原始汤

本文提出了一种针对基于零知识证明(ZK)的 Rollup 的安全机制,旨在应对验证通过但实际上无效的提案。该机制利用证明系统的完备性,允许诚实参与者通过提交正确提案来挑战无效提案,从而发出链上信号,表明证明系统存在缺陷,并触发 Rollup 进入安全模式。此外,文章还提供了一个概念验证,并概述了在 OP Stack 中集成该机制的潜在路径。
零知识证明  Rollup  安全性  完备性  有效性  OP Stack 

Certora竞赛报告:Blend v2

本文是Certora对Blend v2智能合约进行的形式化验证竞赛报告,通过引入代码突变来评估参赛者提交的规范质量。报告列出了被参赛者成功捕获的突变示例,展示了高质量的属性,并提供了竞赛结果和相关资源链接。
形式化验证  Certora Prover  智能合约  突变测试  Blend v2  安全审计 

不变性测试训练营

本文介绍了通过一个由四个部分组成的自定进度的书面教程,从零开始学习不变性测试,并最终能够使用不变性测试在生产系统中发现错误。教程涵盖了如何使用Recon扩展搭建不变性测试套件、创建简化的系统部署、实现对感兴趣合约的全面覆盖、使用Foundry等工具实现属性测试、调试损坏的属性以及使用Echidna的优化模式。
不变性测试  Foundry  Echidna  Medusa  Halmos  Kontrol  Recon 
  • Recon
  • 发布于 2025-08-14
  • 阅读 ( 664 )
  • ( 2 )

传统金融许可型资本市场智能合约协议中的漏洞

本文深入探讨了传统金融(TradFi)机构的许可型资本市场(PCM)智能合约协议中存在的独特漏洞,这些协议用于在受监管的环境中进行代币化真实世界资产(RWA)的链上交易和结算。文章揭示了审计中发现的多种漏洞类别,包括数据跟踪损坏、不一致的状态管理、权限配置错误、以及跨链问题等,强调了与DeFi协议相比,TradFi协议因其合规性和监管要求而面临的特殊安全挑战,并提出了Gas优化建议。
智能合约  漏洞  权限控制  合规性  真实世界资产  RWA  DeFi 
  • Cyfrin
  • 发布于 2025-08-12
  • 阅读 ( 1119 )
  • ( 12 )

Lido预言机被黑,为何资金安然无恙?揭秘让人安心的去中心化钱包背后的设计哲学

职责分离:预言机是信使,而非金库管家要理解Lido为何能在攻击中幸免于难,首先必须厘清其预言机的真正职责。在许多人的误解中,“预言机”似乎是一个掌握着协议命脉的关键组件。然而,在Lido的架构中,预言机的功能被严格地限制和分离。Lido的预言机,本质上是一个分布式的“信息汇报系统”。它由9个独

Certora验证器8.1.0版本发布,包含新功能和重大变更

Certora Prover v8.1.0 版本发布,引入了多项重大变更,包括最低 Java 和 Python 版本要求提升、默认启用健全性检查、requireInvariant 语义更新、Solana 和 Soroban 验证需使用专用命令、默认报告链接改为私有、CVL 函数支持 revert 处理等。
形式化验证  Certora Prover  breaking changes  Solana  Soroban  CVL 
  • Certora
  • 发布于 2025-08-12
  • 阅读 ( 729 )
  • ( 9 )

Fiducia - 为你的 Safe 提供细粒度控制和协同签名人

Fiducia 是 Safe Guard 的一个强大功能,它允许用户对 Safe 的交互对象、行为和时间进行细粒度的链上控制,并提供可选的 cosigner 支持,用于验证敏感操作。Fiducia 具有事务允许列表和阻止列表、Cosigner 支持、Token传输限制和防护移除保护等功能,适用于需要精确控制交易活动的用户。
Safe Guard  Fiducia  Cosigner  多重签名  链上安全  交易控制 

BlockThreat - 2025年第31周周报

本周关注 Samourai Wallet 和 Tornado Cash 案件审判,以及链运营商对生态系统安全的投资。Multichain Router漏洞导致用户资金被盗,SuperRare staking 合约存在权限检查漏洞。此外,还报道了 LuBian 矿池 2020 年发生的价值 35 亿美元的 BTC 被盗事件,以及 Monero 面临的 51% 攻击威胁。
漏洞  安全审计  加密货币  黑客攻击  信息安全  多链 

隐藏的 IDL 指令及潜在的安全隐患

本文深入探讨了 Solana Anchor 框架中隐藏的 IDL(接口描述语言)指令及其潜在的安全风险。
Solana  Anchor  IDL  安全漏洞  类型混淆  智能合约 

币界独家链上安全指南,深度解读合法协议如何沦为诈骗工具?

诈骗者的“工具箱”:三种利用协议的常见骗局区块链协议的设计初衷是为了确保交易的安全和自动化,但诈骗者恰恰利用了这些合法机制,结合用户的认知盲区,制造了多种难以察觉的攻击方式。1.恶意智能合约授权这是DeFi领域最常见的骗局之一。其原理在于利用ERC-20代币标准中的“Approve”授权功

臭名昭著的漏洞摘要 #4:通缩代币风险、ERC4626覆盖漏洞与Rust移位溢出

本文是Notorious Bug Digest系列的第四期,主要分析了近期Web3领域出现的一些安全漏洞和事件。
智能合约安全  漏洞分析  AMM  Permit2  shift溢出  区块链安全 

Certora 通过形式化验证技术确保智能合约安全

本文讨论了Web3应用安全问题,特别关注智能合约的形式化验证。Certora通过形式化验证技术确保智能合约安全,并总结了五个Rust智能合约开发最佳实践,包括保持代码模块化、利用编译器检查、简化数据结构、减少trap value状态以及分离核心逻辑与副作用,以提高代码的可验证性和安全性。
Web3  智能合约  正式验证  Rust语言  Soroban  Solana 
  • Certora
  • 发布于 2025-08-07
  • 阅读 ( 936 )
  • ( 14 )

安全 - Fiamma Bridge审计

该文章是OpenZeppelin对Fiamma Bridge的BitVMBridge合约进行的安全审计报告。报告总结了审计过程中发现的1个高危漏洞以及多个中低危问题,包括潜在的wrapped BTC损失、未经验证的参数、代码可读性问题等。所有发现的问题均已在后续的PR中得到解决。文章最后强调了加强链上验证、增加测试覆盖率的重要性。
智能合约  安全审计  比特币桥  漏洞  BitVM  以太坊 

Solodit 检查清单:三明治攻击

本文解释了Solodit检查清单中的三明治攻击,这是一种利用公共Mempool操纵价格和交易活动,从而攻击去中心化交易所(DEX)用户的恶意策略。文章详细描述了攻击步骤,强调了缺乏滑点保护是主要漏洞,并提供了带有滑点保护的修复方案,通过让用户指定最小可接受的输出量来有效防止攻击。建议开发者在所有价格敏感的用户交互中实施强大的滑点保护,以构建公平且具有弹性的DeFi应用。
三明治攻击  滑点保护  mempool  去中心化交易所  DeFi  价格操纵 
  • Cyfrin
  • 发布于 2025-08-05
  • 阅读 ( 1193 )
  • ( 18 )

【安全月报】| 7月份因黑客攻击、诈骗等导致损失约2.55亿美元

2025年7月加密货币领域因黑客攻击、诈骗和漏洞利用造成的损失约 2.55 亿美元
黑客攻击  钓鱼攻击  web3安全 

慢雾月度安全报告:7月损失估计达1.47亿美元

2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。
web3安全  智能合约漏洞  交易所攻击  钓鱼攻击  供应链攻击  区块链安全 
  • slowmist
  • 发布于 2025-08-02
  • 阅读 ( 836 )
  • ( 19 )

零时科技 & 四叶草安全 —— 筑牢稳定币的安全防线

香港《稳定币条例》推动稳定币进入合规时代,安全成刚性需求。四叶草安全 & 零时科技以技术、服务及对监管的深刻理解,为发行人、巨头等各方提供安全解决方案,助其驾驭机遇、管控风险、赢得长期信任。
稳定币  区块链安全