全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

超越智能合约:深入探讨区块链基础设施安全审计

本文探讨了区块链基础设施安全的重要性,解释了它与智能合约安全的不同之处,并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险,例如验证节点、数据可用性层、执行客户端和P2P网络,以及如何采用系统性的方法来识别和缓解这些风险,确保区块链网络的整体安全。
区块链  基础设施  安全审计  智能合约  攻击面  漏洞 

Cetus黑客来自Aptos生态?

2025年5月22日,SUI公链头部去中心化交易所(DEX)Cetus Protocol遭遇了其生态史上最严重的智能合约攻击事件,造成高达2.6亿美元的巨额损失,不仅重创SUI生态,更引发全行业对DeFi安全性的深度反思。
Sui  Cetus  Aptos  Solana  黑客事件  Move 虚拟机 
  • 老登
  • 发布于 1天前
  • 阅读 ( 145 )
  • ( 3 )

Beraborrow 被遗漏的漏洞

本文介绍了在 Beraborrow 代码库中发现的一个关键漏洞,该漏洞通过模糊测试发现,但在安全竞赛中被遗漏。该漏洞与舍入误差有关,导致每个 Vault 份额的价格意外下降,从而可以触发 Recovery Mode 并清算其他借款人。文章强调了多层安全方法的重要性以及模糊测试在发现此类边缘案例方面的优势。
模糊测试  Beraborrow  Liquity  Recovery Mode  舍入误差  ERC4626 
  • Recon
  • 发布于 2天前
  • 阅读 ( 143 )
  • ( 3 )

Fairblock:不可腐蚀的市场和隐私稳定币

本文深入探讨了Fairblock这一动态保密计算平台,旨在解决Web3领域中隐私缺失的问题。Fairblock通过FairyRing, FairyKit等模块化解决方案,结合多方计算(MPC)、同态加密(HE)等加密技术,为DeFi、AI和博弈等应用实现链上保密,构建一个值得信任且无腐败的市场环境,从而推动机构采用和更广泛的Web3应用。
Fairblock  链上保密  多方计算  同态加密  FairyRing  FairyKit 

向后兼容性 - OpenZeppelin 文档

本文档介绍了OpenZeppelin Contracts库在不同版本之间的向后兼容性保证,包括API和存储布局的兼容性。文章解释了在patch和minor版本更新中通常会保持向后兼容,但某些情况下可能会有例外,特别是涉及到安全问题或draft状态的ERC标准时。同时提醒了override函数、struct结构体以及错误处理等方面需要注意的问题,并强调了major版本更新通常不保证兼容性。
向后兼容性  OpenZeppelin Contracts  API  存储布局  语义化版本控制  Solidity 

Contracts Wizard 部署插件 - OpenZeppelin 文档

该文档介绍了如何使用Contracts Wizard Deploy Plugin将智能合约直接部署到OpenZeppelin Defender账户。内容涵盖API密钥的生成、在Contracts Wizard中的配置、网络选择、审批流程设置以及合约的部署过程,包括确定性部署的配置。还介绍了完成部署后的后续步骤,并提供了反馈渠道。
智能合约  OpenZeppelin Defender  Contracts Wizard  部署  API密钥  确定性部署 

零时科技 || Cetus 攻击事件分析

我们监控到 SUI 上针对 Cetus 的攻击事件,攻击共造成 223M USD 的损失
黑客攻击  攻击事件  web3安全 

零时科技入选安全牛第十二版《中国网络安全行业全景图》

安全牛第十二版《中国网络安全行业全景图》,零时科技强势入围“区块链安全”领域。
区块链安全  安全牛 

OKX研究院 | 账户抽象10年演进终局之战,透过EIP-7702看过去与未来

为什么EIP-7702能被称为账户抽象“终极形态”?它到底解决了啥问题?Pectra 升级后对钱包、开发者和普通用户意味着什么?
eth  Vitalik  账号抽象 
  • 十四君
  • 发布于 2025-05-13
  • 阅读 ( 291 )
  • ( 17 )

如何管理 TimelockController 的角色 - OpenZeppelin 文档

本文档介绍了如何使用 OpenZeppelin Defender 管理 TimelockController 合约的角色。TimelockController 是一种智能合约,用于在操作排队和执行之间强制实施延迟,以提高去中心化治理的安全性。通过 Defender,用户可以导入 TimelockController 合约,创建提案,授予和撤销角色,从而实现对合约权限的集中管理。
TimelockController  OpenZeppelin Defender  访问控制  角色管理  提案  智能合约 

BitsLab 旗下 TonBit 再次发现 TON 虚拟机漏洞:RUNVM 指令或导致智能合约执行环境污染

BitsLab旗下TonBit再次于TON虚拟机(TVM)深层代码里挖出一枚“隐形炸弹”——RUNVM指令非原子状态迁移漏洞。攻击者可借助子虚拟机耗尽gas的瞬间,污染父虚拟机的库(libraries)并诱发后续调用失败,最终导致依赖库完整性的合约出现异常行为。下面我们保留技术细节原
  • BitsLab
  • 发布于 2025-05-12
  • 阅读 ( 177 )
  • ( 7 )

编写自动化智能合约测试 - OpenZeppelin 文档

本文介绍了如何通过编写自动化测试来验证智能合约的行为。内容包括搭建测试环境(使用本地区块链)、编写单元测试(使用Chai断言库),以及执行复杂断言的方式(使用OpenZeppelin Test Helpers)。文章还提及了持续集成服务(如CircleCI)的设置,以便每次提交代码到GitHub时自动运行测试。
智能合约  自动化测试  单元测试  Chai断言库  OpenZeppelin Test Helpers  本地区块链 

模拟以太坊交易以检测 UI 欺骗

本文介绍了如何使用 Foundry 和 Python 模拟以太坊交易,并验证智能合约行为,从而保护用户免受欺骗性钱包界面的攻击。文章详细解释了如何使用 Python 验证交易 calldata,模拟 ERC-20 approve 交易的影响,并通过比较预期和实际 calldata 来检测 UI 欺骗攻击。
以太坊  交易模拟  Calldata  UI欺骗  Foundry  Python 
  • cyfrin
  • 发布于 2025-05-10
  • 阅读 ( 198 )
  • ( 9 )

常见问题 - OpenZeppelin 文档

本文是关于OpenZeppelin升级插件的常见问题解答,涵盖了Solidity编译器版本变更、常见错误、合约升级安全、禁用检查、使用delegatecall和selfdestruct、实现兼容性、代理管理员、实现合约、代理、immutable变量、外部库、升级函数、自定义类型以及在存储变量中使用内部函数等问题。
OpenZeppelin  升级插件  代理  Solidity  delegatecall  selfdestruct  ProxyAdmin  实现合约 

Damn Vulnerable DeFi V4 解决方案 - #7. 受损

本文分析了Damn Vulnerable DeFi V4的第7个挑战Compromised。该挑战通过服务器泄露的十六进制数据,解码出两个预言机报告者的私钥,攻击者可以利用这些私钥操纵NFT价格,低价购买后再以高价卖出,从而获利。
DeFi  漏洞利用  私钥泄露  预言机  价格操纵  Damn Vulnerable DeFi 

在基于角色的访问控制智能合约中修改和分配角色 - OpenZeppelin Docs

本文介绍了如何使用 OpenZeppelin Defender 管理智能合约中的角色权限,包括添加合约、查看和修改角色。通过一个基于角色的访问控制(RBAC)智能合约示例,演示了如何创建合约、分配和撤销角色,以及如何使用 Defender 的地址簿和交易提案功能进行操作。主要目的是帮助用户了解如何使用 Defender 有效地管理和控制智能合约的访问权限。
OpenZeppelin Defender  访问控制  角色管理  智能合约  权限管理  Sepolia 

解码以太坊交易以防止UI欺骗

本文介绍了如何手动解码以太坊calldata以检测UI欺骗攻击。通过解析交易数据,用户可以验证交易的意图,防止恶意操作。文章详细讲解了ERC-20授权交易的解码过程,并提供了一个Python脚本来自动化calldata分析,最终能够帮助开发者在签名恶意DApp交易之前检测和预防UI欺骗攻击。
Calldata  UI欺骗  以太坊  ERC-20  交易解码  安全 
  • cyfrin
  • 发布于 2025-05-08
  • 阅读 ( 180 )
  • ( 8 )

Damn Vulnerable DeFi 漏洞解决方案 — #4. 侧门攻击

本文分析了Damn Vulnerable DeFi V4挑战中的Side Entrance漏洞。该漏洞源于合约未能区分“偿还贷款”和“存款”,允许攻击者利用闪电贷,先借出资金并存回,然后在合约账户中获得信用,最后提取所有资金。文章提供了攻击流程以及相应的解决方案,并提出了预防措施,即闪电贷合约应使用transferFrom()函数从用户合约提取资金。
以太坊  智能合约  漏洞  闪电贷  重入攻击  安全 

如何使用 MistTrack 查找恶意地址

本文介绍了如何使用 QuickNode Marketplace 上的 MistTrack 插件来分析以太坊、币安智能链 (BSC) 和 TRON 网络上的区块链地址,以检测恶意地址。
MistTrack  QuickNode  AML  恶意地址  风险评分  地址标签  反洗钱 
  • QuickNode
  • 发布于 2025-05-07
  • 阅读 ( 274 )
  • ( 15 )

Damn Vulnerable DeFi 解决方案——#1. Unstoppable

本文分析了 Damn Vulnerable DeFi V4 的 Unstoppable 挑战,该挑战通过操纵会计系统实现拒绝服务攻击。
ERC4626  拒绝服务  DoS  闪贷  不变量  漏洞分析