分享百科

安全漏洞

SafeMoon漏洞解析

2023年3月29日,SafeMoon的流动性池遭到攻击,损失890万美元。从交易记录和合约更新中可以看出,合约的修改导致了漏洞,使得任何人都可以调用mint函数并转移tokens。攻击者利用这一漏洞通过闪电贷进行了一系列操作,最终导致资金损失。
安全漏洞  流动性池  闪电贷  safemoon  合约攻击  区块链安全 
  • zellic
  • 发布于 2023-03-30
  • 阅读 ( 348 )

BlockThreat 2025年第25周周报

本周重点关注了加密货币领域中的安全事件,包括伊朗交易所Nobitex被亲以色列组织攻击,CoinMarketCap和Cointelegraph遭受网络钓鱼攻击,以及多个DeFi项目遭受的攻击和漏洞。文章还讨论了社区内部的争端和信任问题,以及各种恶意软件和诈骗活动。
加密货币  安全漏洞  网络钓鱼  DeFi  恶意软件  诈骗 

BlockThreat - 2025年第24周

该文章是BlockThreat发布的一篇安全周报,内容涵盖了加密货币领域的最新安全事件、犯罪活动、网络钓鱼、诈骗以及恶意软件等信息。此外,还包括一些研究论文、安全工具以及媒体报道,例如Bitrue被攻击事件,以及关于Cosmos,Solana,Uniswap V4, NFT智能合约安全等方向的研究。
安全漏洞  网络钓鱼  加密货币犯罪  恶意软件  智能合约安全  供应链安全 

以太坊代理合约分析与漏洞利用管道的概念验证

该工具旨在检测以太坊主网上未初始化的代理合约,识别潜在的安全漏洞,特别是那些未正确初始化的可升级代理合约,这些漏洞可能导致未经授权的访问或操作。该工具包含合约收集、代理检测、初始化函数检测、存储槽分析和漏洞利用测试等多个组件,通过扫描链上合约、分析字节码模式和存储槽数据来发现未初始化的代理合约,并尝试利用这些合约。
以太坊  代理合约  安全漏洞  EIP-1967  初始化  delegatecall 

使用 Certora 形式化验证在外部审计师之前发现高危漏洞

本文作者分享了使用 Certora Verification Language (CVL) 进行智能合约形式化验证的经验,通过将模糊测试中的不变量思想应用于 CVL,解决了之前在模糊测试中发现的真实漏洞的简化版本。文章详细对比了模糊测试与形式化验证的异同,并展示了使用 Certora 解决各种漏洞的实例,强调了 Certora 在漏洞检测方面的有效性和简洁性。
形式化验证  Certora  智能合约  CVL  模糊测试  安全漏洞 
  • Dacian
  • 发布于 2024-11-30
  • 阅读 ( 400 )

加密代币经济学:智能合约安全如何塑造价值与风险

本文探讨了代币经济学与智能合约安全之间的关键关系,强调了智能合约漏洞对代币价值、用户信任和市场稳定的影响。文章分析了主要的智能合约漏洞类型,讨论了智能合约审计的重要性,并提出了增强智能合约安全性的最佳实践。此外,文章还探讨了监管因素对代币经济学和智能合约安全的影响,并强调了在代币经济模型中整合安全措施的重要性。
代币经济学  智能合约  安全漏洞  智能合约审计  监管合规  区块链安全 

从以太坊智能合约到Solana程序:两种常见的安全陷阱及其挑战

本文讨论了以太坊智能合约与Solana程序之间的关键区别,特别是在代码与数据的耦合与解耦方面,并介绍了Solana程序中常见的两种安全漏洞。这些问题的存在使得Solana程序在性能与安全性之间面临挑战,同时提供了相关的解决建议和资源。
Solana程序  以太坊  智能合约  安全漏洞  性能  Rust 
  • Sec3dev
  • 发布于 2021-10-08
  • 阅读 ( 381 )

颠覆Web3中的Web2认证

本文分析了Web3应用中Web2认证集成时存在的安全风险。作者通过案例研究,揭示了OAuth逻辑漏洞、Supabase元数据配置错误以及在localhost环境下滥用OAuth等问题,强调了在Web3应用中采用安全可靠的认证方式的重要性,需要开发者采用更强大的身份验证流程,以弥合Web2框架和Web3生态系统之间的差距。
Web3  Web2  身份验证  OAuth  Supabase  安全漏洞 
  • osecio
  • 发布于 2025-03-07
  • 阅读 ( 100 )

Solana 网络中一个严重漏洞是如何被发现并及时修复的

BlockSec 团队在 Solana 的 rBPF 中发现了一个安全漏洞,该漏洞可能导致合约执行路径错误。该漏洞存在于 rBPF 的较新版本中(0.2.26 到 0.2.27)。BlockSec 团队及时向 Solana 安全团队报告了该漏洞,Solana 团队迅速确认并修复了该问题,并授予 BlockSec 团队价值 40 万美元的 SOL 代币奖励。
rBPF  Solana  安全漏洞  sdiv指令  JIT编译  智能合约 

复苏之路 - Nomad 跨链桥遭受攻击后

文章主要讨论了 Nomad 跨链桥遭受攻击后的应对措施和未来计划。文章分析了 Nomad 桥被黑的独特性,例如:黑客人数众多,被盗资金构成复杂,以及黑客攻击后的交易验证问题。Nomad 团队提出了三个阶段的恢复计划:资金追回、桥升级和桥重启及资金分配,旨在公平有序地让用户 "解桥"。
Nomad  跨链桥  安全漏洞  资金追回  桥重启  白帽黑客 

智能合约审计终极指南

本文探讨了智能合约审计的重要性,包括以太坊虚拟机(EVM)、Solidity编程概念以及测试和识别安全漏洞的最佳实践。通过理解EVM的工作原理、Solidity的基础和高级概念、Foundry的使用以及Web3协议的交互,读者可以掌握智能合约审计的关键技能,并了解常见的攻击向量和安全报告,从而提高智能合约的安全性。
智能合约审计  以太坊虚拟机  EVM  Solidity  安全漏洞  Foundry 

安全披露

Offchain Labs团队向OP Labs团队披露了Optimism欺诈证明系统中存在的两个严重安全漏洞,这些漏洞允许恶意方强制OP Stack欺诈证明机制接受欺诈性的链历史,或阻止其接受正确的链历史。漏洞源于OP欺诈证明设计处理定时器的方式的缺陷。文章还简要介绍了Arbitrum的BoLD协议如何通过详细的威胁模型和安全证明来避免此类攻击。
Optimism  欺诈证明  安全漏洞  定时器  OP Stack  Arbitrum 

CoinEx、火币、FloorDAO:当密钥、逻辑和供应控制全部失效

本文总结了近期Huobi, CoinEx, BFCToken, FloorDAO等多个项目遭受的攻击事件,总损失超过6000万美元。攻击原因包括私钥泄露、价格操纵漏洞和逻辑漏洞等。同时,文章也推广了Olympix提供的Solidity分析工具,旨在帮助开发者识别和修复智能合约中的漏洞。
私钥泄露  价格操纵  逻辑漏洞  智能合约  安全漏洞  区块链安全 

Remitano、GAMBL、Rocketswap:当操作失误击败代码漏洞

本文分析了Remitano、GAMBL、DAppSocial和Rocketswap近期发生的四起安全漏洞事件,损失总计超过440万美元。这些事件主要由于私钥泄露、推荐系统漏洞和逻辑漏洞导致,强调了操作安全在Web3安全中的重要性。
私钥泄露  智能合约安全  安全漏洞  以太坊  Arbitrum  操作安全 

Cosmos Hub Onboard:事件报告和解决方案

Quicksilver liquid staking protocol 在 onboard Cosmos Hub 时遭遇恶意攻击,攻击者利用 Cosmos Hub 中 IBC-go 版本的安全漏洞阻止了 Quicksilver 的 onboard。
Quicksilver  Cosmos Hub  Liquid Staking  IBC-go  安全漏洞  攻击 
登链社区