漏洞

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报，内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

Trail of Bits 团队通过对 cURL 命令行接口（CLI）进行模糊测试，发现了多个内存损坏漏洞，包括 use-after-free、double-free 和内存泄漏。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

本文介绍了以太坊开发框架Foundry中的Fuzz测试技术。Fuzz测试通过生成大量随机输入来测试智能合约在各种条件下的行为，帮助开发者发现边界情况和潜在安全漏洞。文章通过一个简单的存款和取款智能合约示例，展示了如何在Foundry中实现Fuzz测试。

OpenZeppelin 对 ink! 和 cargo-contract 进行了安全评估，未发现严重问题，但发现了两个高危问题，Parity 团队正在解决。

本次是对MerkleDB的预生产使用的代码审计，发现了一个高危漏洞，即能够为Trie中存在的键生成有效的排除证明。此外，还发现了一些低危漏洞和信息性问题，例如RecordKeyChange忽略ErrorNotFound、addPathInfo函数可能使用错误的压缩键等。代码质量总体较高，但在实际生产环境中仍需进行更广泛的测试。

本文详细介绍了智能合约安全审计的重要性、流程、用例、常见漏洞、工具和最佳实践。强调了在区块链应用中进行安全审计的关键性，以防止潜在的漏洞利用和资产损失，并提供了智能合约开发和审计的最佳实践。

本文探讨了Nomad桥的漏洞及其被黑的原因，强调了未审计代码带来的安全风险，并介绍了一项新工具——审计覆盖追踪器，该工具旨在提供DeFi协议代码的审计状态信息，从而帮助开发者和用户避免类似的安全问题。

本文档介绍了OpenZeppelin Code Inspector，它是一个与Github集成的代码分析工具，通过机器学习和安全专家开发的工具自动进行代码分析，识别潜在漏洞并提出改进建议。

DeFi领域中的rounding errors漏洞依然普遍存在，可能导致重大损失。文章解释了rounding errors的成因、危害以及难以被人类发现的原因，并通过Juice Finance的案例展示了如何利用Formal Verification技术来检测和预防此类漏洞，强调了Formal Verification在保障DeFi协议安全中的作用。

Agave的ed25519和secp256r1预编译程序中存在一个bug，该bug在新版v2.2引入的--transaction-structure view选项的验证器中被暴露。

本文介绍了 Solodit 社区维护的智能合约安全审计检查表，强调了智能合约安全的重要性，并列举了由于漏洞导致重大经济损失的案例。文章详细介绍了使用该检查表进行智能合约审计的前提条件、所需资源，并深入探讨了包括重入攻击、拒绝服务攻击、抢跑交易等常见的漏洞及其缓解措施，同时还介绍了安全开发的最佳实践。文章还提到了2025年最新的安全工具和技术更新。

文章通过详细分析多个审计报告，提供了如何识别和解决智能合约漏洞的实用技巧，强调深度分析和验证的重要性。

本周，超过1700万美元的资金在四起独立事件中被盗，其中大部分损失来自Stacks区块链上的Alex Lab被攻击事件。Bitopro交易所披露了一起发生在一个月前的1150万美元的漏洞，而Marinade Finance遭受了一起500万美元的市场操纵计划，该计划持续了数月未被发现。此外，还讨论了与加密货币相关的其他安全事件、犯罪活动、政策变化、网络钓鱼攻击和恶意软件。