分享百科

漏洞

什么是智能合约审计及如何选择合作伙伴

这篇文章详细探讨了智能合约审计的重要性及选择合适合作伙伴时需考虑的关键因素。作者通过成功与失败的案例分析,强调了审计在保护用户资产和维护项目信誉中的重要角色。此外,文章还介绍了审计过程的具体步骤及最佳安全实践,这些信息对区块链开发者和项目经理具有指导意义。
智能合约  审计  区块链安全  DeFi  漏洞  最佳实践 

NFT项目常见的安全漏洞及防范措施

随着NFT项目的逐渐普及,其安全问题也愈加突出。本文详细分析了最近的NFT黑客事件,介绍了NFT社区的安全风险及最佳实践。通过提升安全意识和技术,社区管理者和开发者可以有效保护其项目安全。
NFT  黑客  安全最佳实践  智能合约  社区管理  漏洞 

Solana 黑客攻击、漏洞和安全漏洞:完整历史

本文全面回顾了2020年至2025年第一季度 Solana 的安全事件,详细分析了事件的根本原因、影响、应对措施和补救措施。文章将安全事件分为应用漏洞、供应链攻击、网络层攻击和核心协议漏洞四类,并统计了各类事件的频率和造成的经济损失。最后总结了 Solana 在安全响应方面的演进,包括更快的响应时间、更有效的修复策略以及生态系统层面的改进。
Solana  安全事件  漏洞  攻击  区块链安全  DeFi安全 
  • Helius
  • 发布于 2025-05-24
  • 阅读 ( 128 )
  • ( 8 )

Solana 质押池:X-Ray 发现的语义不一致性漏洞

本文揭示了在Solana官方stake-pool程序中发现的语义不一致性漏洞,并讨论了漏洞的性质、发现过程及其利用方式。文章详细介绍了带来的风险及安全审计的重要性,强调需要更全面的审计流程。
Solana  Stake Pool  语义不一致性  漏洞  安全审计  渗透测试 
  • Sec3dev
  • 发布于 2021-12-18
  • 阅读 ( 403 )

Optimism 无限金钱复制漏洞修复审查

文章详细介绍了Optimism协议中的一个关键漏洞,该漏洞使攻击者能够通过自毁合约(selfdestruct)无限制地复制OETH(Optimism的ETH表示)。作者讨论了漏洞的原因、影响及其修复过程,强调了安全意识在区块链项目中的重要性。文章结构清晰,包括对L2解决方案的简介、漏洞分析及修复等内容,适合对区块链技术感兴趣的读者。
Optimism  漏洞  自毁合约  L2  OVM 2.0  安全性 

攻破电话:如何解决Ethernaut的挑战#4

本文深入解析了Ethernaut的Phone挑战,揭示了Solidity中tx.originmsg.sender的区别及其安全隐患。通过构建攻击合约并利用Foundry进行测试和部署,展示了如何利用tx.origin漏洞篡夺合约所有权。强调在实际DeFi项目中应避免使用tx.origin进行身份验证,并推荐使用msg.sender或基于角色的访问控制。
tx.origin  msg.sender  Solidity  漏洞  Foundry  智能合约安全 

Mobius代币爆炸性漏洞利用:铸造数万亿MBU的漏洞

Mobius项目由于智能合约中的一个漏洞,攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中,计算代币数量时的一个乘法运算缺少了除以10^18的步骤,导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞,从零地址铸造了大量的MBU,并通过一系列操作将资金转移。
智能合约  漏洞  代币增发  MBU代币  以太坊  区块链安全 

Solady 审计以增强整个生态系统的链上安全

Base 资助了 Solady 库的第三方安全审计,主动识别并解决了多个安全问题。Solady v0.1.1 已发布,建议开发者升级。审计发现并修复了包括 ERC-6492 实现中的严重漏洞在内的多个问题,这些漏洞可能导致未经授权的资金转移。Base 强调安全是其首要任务,并致力于通过投资安全研究和开源基础设施审计来提升整个以太坊生态系统的安全性。
Solady  智能合约  安全审计  ERC-6492  漏洞  以太坊 

最佳智能合约审计与安全课程

本文列出了五个顶尖的智能合约审计和安全课程,旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题,都是业内专家设计,并提供了丰富的学习资源和实用技能。
智能合约审计  Web3  安全课程  在线学习  区块链  漏洞 
  • cyfrin
  • 发布于 2024-11-02
  • 阅读 ( 589 )
  • ( 4 )

选择审计竞赛:如何识别“灵丹妙药”

本文分析了审计竞赛平台常见的营销误导策略,包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时,关注透明度、沟通和有效指标,并提出了一系列问题,帮助读者识别并避免这些误导,从而选择真正能提高代码安全性的平台。
审计竞赛  安全研究  漏洞  智能合约  代码安全  安全审计 
  • zellic
  • 发布于 2025-04-23
  • 阅读 ( 829 )
  • ( 35 )

事后分析:Notional Finance 漏洞及正确形式化规范的重要性

文章讲述了 Notional Finance 系统中出现的一个漏洞,该漏洞由于不正确的形式化验证不变量导致。原本旨在防止资产重复的错误不变量实际上是空洞的,无法发现漏洞。随后通过更正后的简单不变量成功检测到该漏洞,并提出了改进规范安全性的措施,包括审计规范、漏洞赏金、技术检查和集成测试工具,以提高代码安全性和规范的准确性。
形式化验证  不变量  Certora Prover  漏洞  Notional Finance  DeFi 
  • Certora
  • 发布于 2022-01-19
  • 阅读 ( 152 )

RocketPool 和 Lido 抢跑漏洞修复审查

白帽黑客Dmitri Tsumak发现RocketPool和Lido Finance的漏洞,该漏洞允许节点运营者窃取用户存款。Dmitri Tsumak 通过 Immunefi 向 RocketPool 和 Lido 提交漏洞报告,并获得了总计 20 万美元的漏洞赏金。文章分析了漏洞的原理,以及以太坊POS机制下,第三方Staking池的攻击向量。
以太坊2.0  权益证明  PoS  Lido  RocketPool  漏洞 

以太坊智能合约安全开发者指南

本文介绍了以太坊智能合约的安全最佳实践,包括进行智能合约审计、测试代码、同行代码审查、降低软件复杂性、实施故障保护以及设计安全访问控制机制。此外,还介绍了四种智能合约安全工具,帮助开发者保护智能合约免受漏洞利用。
智能合约  安全  以太坊  Solidity  漏洞  审计 
  • Alchemy
  • 发布于 2022-04-08
  • 阅读 ( 372 )

你是否能通过 Rekt 测试?

Rekt Test 是由 Web3 安全专家创建的,旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试,该测试通过12个问题,涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。
区块链安全  安全测试  Rekt Test  漏洞  威胁建模  密钥管理 

模糊测试以太坊网络 (devp2p)

该文章提出了一个关于模糊测试以太坊网络 (devp2p) 的项目,旨在通过创建模糊器来发现潜在的漏洞。该项目计划使用 Go 语言,并基于 Geth 客户端修改其 devp2p 实现,以发送恶意消息。目标是测试网络升级和客户端的 devp2p 实现,从而发现可能导致崩溃、内存泄漏等问题,并最终提高以太坊网络的安全性。
模糊测试  以太坊  devp2p  Geth  漏洞  安全 
登链社区