Trail of Bits 的工程师参加了 Real World Crypto 2024 大会，会议重点关注后量子密码学（PQC）的标准化和应用，端到端加密（E2EE）和密钥透明度的发展，以及全同态加密（FHE）的进展。

本文探讨了形式化验证和模糊测试在智能合约安全审计中的应用。文章指出，形式化验证虽然理论上可以证明代码中不存在漏洞，但在实际复杂代码库中难以实现，并且模糊测试可以发现形式化验证所能发现的相同漏洞。文章建议在采用形式化验证之前，应优先使用模糊测试，并强调编写高质量不变量的重要性。

Trail of Bits 对 Ockam 的安全通信协议设计进行了密码学设计审查，Ockam 旨在实现跨异构网络的安全通信。审查肯定了 Ockam 设计的优点，并提出了加强系统安全性的建议，包括改进文档、明确安全保证以及进行形式化验证，使用 Verifpal 和 CryptoVerif 等工具来验证 Ockam Identities 的安全性。

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

Rekt Test 是由 Web3 安全专家创建的，旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试，该测试通过12个问题，涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。

Echidna 2.1.0 版本引入了直接检索链上数据的新功能，如合约代码和存储槽值。文章展示了如何使用 Echidna 复现 2022 年 Stax Finance 被攻击事件，该事件是由于 StaxLPStaking 合约中缺少验证检查，导致价值 230 万美元的 xLP 代币被盗。

本文介绍了PyPI（Python Package Index）上新的、更安全的身份验证方法——“可信发布”。它基于OpenID Connect (OIDC) 构建，无需长期存在的APIToken和密码，降低了供应链攻击和凭据泄露的风险，简化了发布工作流程，允许CI/CD系统安全地发布包而无需共享密钥。文章还探讨了可信发布的安全模型、潜在威胁及应对措施。

Trail of Bits 团队通过对 cURL 命令行接口（CLI）进行模糊测试，发现了多个内存损坏漏洞，包括 use-after-free、double-free 和内存泄漏。

Sigstore 是一种免费且与生态系统无关的软件签名服务，它使开发者能够签署、验证和保护他们的软件项目及其依赖项。

本文是关于 PlonK 零知识证明系统中 Frozen Heart 漏洞的分析。该漏洞源于 Fiat-Shamir 转换的不安全实现，允许恶意用户伪造随机语句的证明。文章详细介绍了 PlonK 协议以及该漏洞的原理和利用方式，强调了在 Fiat-Shamir 哈希计算中包含所有公共值的重要性。最后讨论了此漏洞的影响，并指出其严重性和广泛性。