本文讨论了Web3生态系统中长期被忽视的盲签问题，以及Bybit被黑事件暴露出的用户验证交易信息的不足。文章分析了EIP-712的局限性，并提出了EIP-7730作为一种解决方案，通过使硬件钱包能够解码交易，帮助用户理解他们实际签署的内容，从而提高交易的安全性，并降低了开发者的实施负担。

本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像，利用图像缩放算法的特性，在图像缩小时嵌入恶意提示，实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证，并提供了防御建议和开源工具Anamorpher。

Deptective 是 Trail of Bits 发布的一款开源工具，旨在自动发现软件运行所需的依赖包。通过跟踪软件的系统调用，Deptective 能够识别缺失的文件，并在 Linux 发行版的索引中查找包含这些文件的软件包，最终确定并安装所有必要的依赖项，从而成功运行软件。

文章分析了当前区块链安全领域中，私钥泄露已成为最主要的攻击手段，并提出了一个访问控制成熟度模型，从单一EOA控制到完全不可变的架构，为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导，建议开发者尽早关注架构设计，采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。

本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算，并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞，包括可能破坏系统安全性的soundness和under-constrained问题。

本文针对托管稳定币发行商提出了一个安全评估框架，称为“托管稳定币 Rekt 测试”，包含九个关键问题，旨在帮助用户评估发行商的运营弹性，并帮助发行商识别安全程序的关键差距。强调了在稳定币发行中，运营安全的重要性，并提供了具体的实践建议，以应对新兴威胁，保护用户资金安全。

本文深入探讨了Passkey背后的密码学原理，包括WebAuthn规范如何增强安全性以抵抗网络钓鱼，以及Authenticator的类型。同时讨论了Passkey的威胁模型、局限性，以及用于密钥生成和证书存储的扩展功能。最后，文章为用户和开发者提供了采用Passkey的建议，并展望了其在现代身份验证系统中的未来。

本文档介绍了如何在软件开发生命周期（SDLC）中持续维护和更新威胁模型，以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型，包括确定需要更新的关键组件、新增风险的跟踪，以及如何将威胁模型集成到SDLC的各个阶段，从而创建一个威胁和风险分析信息生命周期TRAIL。

本文介绍了TRAIL，一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响，通过识别架构层面的风险并提供短期和长期缓解方案，使客户能够随着系统变化自主更新威胁模型，同时还阐述了TRAIL的工作原理，以及轻量级和综合性威胁模型的产出。

Bybit交易所遭受了15亿美元的重大黑客攻击，这并非由于智能合约或代码错误，而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用，并提出了改进安全控制的具体建议，如端点安全、交易验证流程、钱包配置和操作隔离。