本文介绍了如何使用Squads创建Solana上的多重签名钱包。通过引导用户逐步创建和管理团队的多重签名钱包,文中详细解释了相关功能和操作步骤,包括创建钱包、存入SOL以及创建和授权交易等。文章适合对Solana和Web3有基础了解的用户,具有实用性和可操作性。
Bybit交易所遭受了15亿美元的重大黑客攻击,这并非由于智能合约或代码错误,而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用,并提出了改进安全控制的具体建议,如端点安全、交易验证流程、钱包配置和操作隔离。
Bybit交易所遭遇了15亿美元的加密货币盗窃,攻击者通过入侵多个签名者的设备,操纵钱包界面,并在签名者不知情的情况下收集了所需的签名。文章分析了这一事件,并将其与WazirX和Radiant Capital的攻击联系起来,指出攻击者不再利用智能合约漏洞,而是转向攻击交易所的运营安全,强调行业需要加强运营安全,实施隔离、验证和检测等措施,以应对日益复杂的威胁。
本文深入探讨了 DAO(去中心化自治组织)的概念,分析了 DAO 的历史、运作方式、技术栈、指标、类型、法律地位和监管,并对 DAO 的未来进行了展望。文章指出,DAO 是一种利用智能合约在区块链上运行的互联网原生组织,旨在革新人们实现共同目标的方式,具有透明、高效、灵活等优势。
本文深入分析了以太坊智能合约中“private”变量的安全性误解,指出区块链的透明性使得任何人都可能通过分析读取合约存储中的敏感数据。
这篇文章深入探讨了以太坊的Safe智能账户(Safe Smart Accounts)的基础知识,涵盖了定义、架构、关键功能及其与多重签名和元交易等概念的关系。文章提供了详细的术语说明,并分层次地展示如何安全地操作和管理高价值的安全智能账户,同时为后续的安全最佳实践奠定了基础。
本文介绍了多重签名账户,这是一种需要多个授权签名者批准操作才能执行的智能合约账户。文章详细讲解了 ERC-7913 标准及其在 OpenZeppelin 中的实现,包括 SignerERC7913、MultiSignerERC7913 和 MultiSignerERC7913Weighted 合约,以及如何具有不同类型签名者和权重的多重签名账户。
本文介绍了如何使用 safe-utils 和 tenderly-utils 这两个 Foundry 模块来简化协议的治理流程,尤其是在涉及 Safe 多签账户的场景下。
文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
Bybit黑客事件展示了无视操作安全的风险,攻击者利用硬件钱包的盲签名缺陷操控了智能合约,盗取了价值14.6亿美元的以太坊。尽管多重签名钱包在技术上能够提供更高的安全性,然而其有效性仍然依赖于用户的操作流程与习惯,强调了加强操作安全的重要性。
本文是 Governance Guild 针对其第一季度预算的提案,旨在为 Developer DAO 建立治理程序和工具。
本文档介绍了 OpenZeppelin Defender 平台中的 Settings 模块,包括审批流程管理、通知渠道配置(Slack、Email、Discord、Telegram等)、团队成员管理(角色、2FA)、密钥管理、API 密钥管理、自定义网络(Forked 和 Private)以及一些高级设置(导出配置和删除账户)。该模块用于 Defender 的配置和管理,保障链上交易的安全。
本文深入探讨了Web3中跨链桥面临的安全挑战,剖析了Poly Network、Ronin Network、Harmony Bridge、BNB Bridge、Wormhole、Nomad Bridge和Qubit Finance等多个桥被攻击的案例。通过分析这些案例,揭示了不安全外部调用、私钥泄露、加密攻击和零值利用等常见漏洞,强调了审计和漏洞赏金计划在预防攻击中的重要性。
本文讨论了智能合约是否应该设计成可升级的。文章探讨了可升级合约可能引入的复杂性和潜在的安全风险,同时也强调了其在修复bug和添加新功能方面的作用。文章建议,不应仅仅因为担心复杂性而避免使用可升级合约,而应加强对升级技术的理解。同时,推荐使用ProxyAdmin合约和多重签名,或通过链上治理来实现更安全的升级。
本文深入探讨了EigenLayer的AVS合约中BLS多重签名的实现。文章详细介绍了EigenLayer的AVS,回顾了BLS签名原理,并说明了如何在实践中使用BLS签名来解决实际问题,展示了BLS签名聚合和多重签名构建方法,并讨论了如何防范多重签名中存在的rogue-key攻击风险,以及EigenLayer如何解决这个挑战。此外,还提出了一种未来可能探索的替代方案。