开源Centaur:多人、自托管、安全的AI代理 Paradigm 和 Tempo 开源了 Centaur,一个自托管的运行时,用于构建多人、安全的 AI 代理。Centaur 作为共享代理,可在 Slack 或 API 中使用,支持长时间运行、崩溃恢复、工具集成和工作流共享。其架构基于服务,所有状态存储在 Postgres 中,每个会话拥有隔离的沙箱容器,代理通过防火墙安全访问 API 密钥,避免凭据泄露。Centaur 支持扩展工具、技能和工作流,已内部使用数月,覆盖投资、工程、设计等多个领域。 Centaur AI代理 自托管 安全 开源 多人协作 Paradigm 发布于 2026-05-22 159 0 0
Certora CTF 解题报告 本文分析了 Certora CTF 中的多个挑战,揭示了Exchange合约中 toInt256 函数的 off-by-one 漏洞和NISC 合约中 _update 函数的安全漏洞,从而可以在 Vault 中获得巨大的信用额度并交换为 USDC。 智能合约 漏洞 ctf DeFi 以太坊 安全 billh_ 发布于 2026-01-08 682 0 0
15亿美元的Bybit被盗事件:运营安全失败的时代已经到来 Bybit交易所遭遇了15亿美元的加密货币盗窃,攻击者通过入侵多个签名者的设备,操纵钱包界面,并在签名者不知情的情况下收集了所需的签名。文章分析了这一事件,并将其与WazirX和Radiant Capital的攻击联系起来,指出攻击者不再利用智能合约漏洞,而是转向攻击交易所的运营安全,强调行业需要加强运营安全,实施隔离、验证和检测等措施,以应对日益复杂的威胁。 加密货币 交易所 安全 多重签名 运营安全 朝鲜 Trail of Bits 发布于 2025-02-22 2001 0 0
解决SNARK中的漏洞:未来的道路 这篇文章探讨了在区块链世界中,SNARKs(简洁非交互式知识论证)的安全性和正式验证的重要性,尤其是在Jolt这一用于RISC-V的zkVM的上下文中。文章概述了Jolt推出以来在性能和功能上的提升,并详细描述了为实现正式验证所采取的具体步骤与未来计划。作者强调了当前工具链中存在的风险,呼吁在广泛使用之前确保其安全性。 SNARKs Jolt zkVM 正式验证 RISC-V 安全 a16z Crypto 发布于 2024-11-21 3413 0 0
门限方案攻击:第二部分 本文深入探讨了多方计算(MPC)和门限签名方案中协议设计上的缺陷,这些缺陷不同于代码层面的漏洞,而是源于协议本身的设计决策。文章分析了MtA Oracle攻击、密钥重共享协议中的“Forget-and-Forgive”攻击,以及确定性Nonce生成在门限Schnorr签名中的风险,并讨论了一种潜在的针对门限Schnorr方案自适应安全性的理论攻击。 门限签名 ECDSA Schnorr签名 MPC 密码学 安全 hexens 发布于 2025-12-17 1247 0 0
ERC-4337 安全:打包器、支付大师、签名 这篇文章深入探讨了ERC-4337账户抽象(Account Abstraction)带来的安全挑战,分析了从EOA模型转向分布式系统后,如签名重放、哈希不匹配、拒绝服务等新的威胁向量。文章提供了详细的工程实践指南,涵盖了签名、支付大师和打包器等核心组件的安全设计,并给出了实用的测试和风险控制清单。 ERC-4337 账户抽象 安全 UserOperation 支付大师 打包器 spearbit 发布于 2026-03-11 588 0 0
原生 Solana:关键安全检查 in Solana 60 天课程 本文详细介绍了Solana原生程序开发中的多项关键安全检查,包括验证账户所有权、系统变量和程序ID、要求签名者、强制可写账户、跨程序调用后状态重载以及防范代币账户粉尘攻击和PDA账户抢占。文章通过具体代码示例和真实案例(如Wormhole漏洞)深入剖析了潜在的安全风险及其修复方法,旨在帮助开发者构建更安全的Solana程序。 Solana 安全 原生程序 漏洞 CPI 账户所有权 粉尘攻击 PDA抢占 RareSkills 发布于 2026-02-28 1022 0 0
探索以太坊原生Rollup - L1与L2的融合 本文深入探讨了原生rollups的概念,旨在简化以太坊的L1和L2之间的互动,提出了一种新的`EXECUTE`预编译指令,允许以太坊直接验证L2事务,从而消除对EVM的重新实现,减少安全风险和治理成本,并提升最终性。通过对当前L2解决方案面临的挑战的分析,文章展示了这种新方法可能带来的优势与技术挑战。 原生rollups 以太坊 EVM EXECUTE预编译 零知识证明 安全 thogiti 发布于 2025-02-02 1747 0 0
加密领域中受信任执行环境(TEE)的终极指南 本文深入探讨了受信任执行环境(TEE)的架构、功能和在区块链及Web3项目中的应用。通过硬件级安全性,TEE有效保护敏感数据及运算,增强去中心化应用、智能合约和区块链网络的安全性。文章还讨论了TEE在密钥管理、私密交易等方面的重要性,以及未来在隐私优先的DeFi等领域的应用前景。 受信任执行环境 区块链 智能合约 安全 加密技术 Web3 olympixai 发布于 2025-02-01 4003 0 1
乐观Rollup的“为什么” 本文详细解释了Optimistic Rollup的工作原理、安全性及其在扩展以太坊方面的潜力,强调了其去中心化和可持续扩展的特性。 Optimistic Rollup 以太坊 合并共识 安全 去中心化 扩展性 adlerjohn 发布于 2021-06-17 1645 0 0
以太坊智能合约安全建议和最佳实践 本文档提供了以太坊智能合约的安全建议和最佳实践,涉及ERC20代币标准、EVM特性、重入攻击、算术溢出、自毁函数、调用函数、gas限制、编译版本、合约部署、代码规范、代码审计等多方面的安全问题,并针对这些问题提供了相应的解决方案和防范措施。同时,本文档还列举了一些常用的安全工具,帮助开发者进行智能合约的安全分析和测试。 以太坊 智能合约 安全 Solidity语言 漏洞 最佳实践 guylando 发布于 2022-01-17 1920 0 0
? 有状态模糊测试与无状态模糊测试 本文深入探讨了无状态模糊测试和有状态模糊测试在智能合约安全中的作用。无状态模糊测试将每个测试案例视为独立事件,适用于快速发现输入验证和简单功能中的漏洞。有状态模糊测试则追踪系统状态,模拟真实攻击行为,擅长检测多步骤交互和状态依赖性漏洞,如重入攻击和经济漏洞。文章还介绍了混合模糊测试策略、工具和实践,强调了在DeFi安全中综合运用两种方法的重要性。 模糊测试 智能合约 安全 无状态模糊测试 有状态模糊测试 DeFi CoinsBench 发布于 2025-06-25 1691 0 0
网络钓鱼攻击日益复杂 本文是一位网络安全专家分享了自己亲身经历的一次复杂加密货币钓鱼攻击,攻击者通过伪装成Coinbase员工,利用社工手段和多渠道协同,试图诱导受害者转移资产到虚假的Coinbase Vault中。作者详细拆解了攻击过程中的各种欺骗手段和危险信号,并分享了实用的安全建议,旨在帮助数字资产投资者识别和防范日益复杂网络钓鱼攻击。 网络钓鱼 加密货币 Coinbase 安全 多重签名钱包 社会工程学 Galaxy 发布于 2025-06-27 1888 0 0
ERC-4626通胀攻击及其缓解方法 本文深入分析了ERC-4626 Vaults中存在的通胀攻击漏洞,攻击者可以通过极少量初始存款和后续的“捐赠”操作,操纵Vault的份额计算,从而窃取后续存款人的资产。文章详细解释了攻击原理、步骤,并通过实例进行了说明,同时探讨了针对此漏洞的多种防御措施,例如使用ERC4626 Router、内部跟踪总资产、创建“死亡份额”以及在初始化时注入初始资金等。 ERC-4626 通胀攻击 Vault 智能合约 DeFi 安全 CoinsBench 发布于 2025-04-19 2762 0 0
开源 Centaur:多用户、自托管、安全的AI代理 Paradigm 和 Tempo 开源了 Centaur,一个自托管的运行时,用于构建多用户、安全的 AI 代理。Centaur 在 Slack 中运行,可执行持续数小时的任务,支持工具、工作流和安全凭证管理。其架构基于 Postgres 状态存储和微服务,每个会话有独立沙箱,通过防火墙实现凭证安全。文章深入介绍了系统设计、安全模型和扩展方式,包括技能、工具和工作流的插件式开发。 Centaur AI代理 多用户 安全 自托管 工作流 Paradigm 发布于 2026-05-22 91 0 0