Nomad Bridge攻击事件:根本原因分析 Nomad的Replica合约存在一个实现缺陷,导致无法正确验证消息的身份。 Nomad Replica合约 Merkle树 智能合约漏洞 跨链桥 身份验证 blog_nomad 发布于 2022-08-06 1622 0 0
Polygon 桥利用内存损坏实现任意消息伪造 本文深入分析了 Polygon Plasma 桥中一个价值 8 亿美元的严重安全漏洞。该漏洞由 MPT 证明库的提前终止缺陷与 RLP 阅读器库的内存越界漏洞共同构成,攻击者可利用 Solidity 内存残留机制伪造任意提现事件。目前该漏洞已修复。 Polygon Plasma桥 MPT证明 RLP解析 内存越界 智能合约漏洞 hexens 发布于 2026-03-24 403 0 0
臭名昭著的漏洞摘要 #7:时间戳攻击、重入失败与金库劫持 该文是《The Notorious Bug Digest #7》精选汇编,深入分析了近期Web3领域的三起安全漏洞和事件。文章详细解读了CometBFT中的时间戳操纵漏洞、Gnoswap中因值语义导致的重入锁失效问题,以及Taraxa Bridge中不当授权检查造成的资产劫持。通过这些案例,旨在为Web3安全社区提供教育资源和经验分享。 web3安全 智能合约漏洞 时间戳操纵 重入攻击 权限绕过 区块链安全 OpenZeppelin 发布于 2026-03-15 657 0 0
区块链运营安全评估:基础设施保障 文章指出区块链安全威胁已从智能合约漏洞转向链下运营基础设施,强调需要转变观念,重视对周边运营环境的保护。它提出了一种区块链运营安全评估方法,详细介绍了其评估范围、流程和所遵循的行业标准,旨在帮助组织全面提升安全性,以应对不断变化的攻击向量。 区块链安全 链下安全 运营安全 智能合约漏洞 供应链攻击 密钥管理 OpenZeppelin 发布于 2026-03-12 729 0 0
[H-03] 链表腐败通过不彻底的订单清理实现双重退款 文章指出,一个去中心化交易所(DEX)的`_cancelOrder()`函数在取消订单后,未能完全清除订单在链表中的`prev`、`next`和`remaining`字段。这导致链表腐败,允许攻击者对同一订单进行多次退款,从而可能造成DEX资金池枯竭,甚至结合其他漏洞窃取用户资金。文章提出了清晰的修复建议。 链表腐败 双重退款 DEX破产 智能合约漏洞 Solidity 悬空指针 openai 发布于 2026-02-19 523 0 0
第23章:DeFi 安全 DeFi 协议管理着大量资产,但智能合约的不可变性使其成为黑客攻击的目标。常见的攻击包括重入攻击、整数溢出、访问控制漏洞、预言机操纵和闪电贷攻击。防范措施包括代码审计、安全工具、经济模型优化以及用户安全教育。随着DeFi规模扩大,提升安全水平,平衡创新与安全至关重要。 DeFi安全 智能合约漏洞 重入攻击 预言机操纵 闪电贷攻击 安全审计 Solidity Gas Tiny熊 发布于 2026-01-10 2767 0 1
DeFi 安全性解析:从交易威胁到协议漏洞及其他 - CoW DAO 本文深入探讨了DeFi领域的安全问题,从交易层面(如MEV和三明治攻击)到协议漏洞(如智能合约漏洞和预言机操纵),再到个人安全风险,全面解析了DeFi生态系统中存在的各种威胁,并介绍了CoW Protocol如何应对这些威胁,最后强调了多层次安全方法的重要性。 DeFi安全 MEV 三明治攻击 智能合约漏洞 预言机 CoW协议 CowSwap 发布于 2025-08-08 941 0 0
2025 年令 Web3 蒙受逾 10 亿美元损失的隐形安全失误 文章回顾了2025年Web3领域的重大安全损失,指出许多漏洞并非传统代码Bug,而是源于经济逻辑缺陷、前端基础设施漏洞、预言机延迟及供应链风险。强调安全应被视为贯穿系统生命周期的持续性过程,而非仅仅是上线前的审计。 web3安全 智能合约漏洞 预言机 经济逻辑攻击 基础设施安全 供应链风险 ancilartech 发布于 2026-04-14 332 0 0
DeFi中的跨链桥最佳实践是什么?- CoW DAO 本文探讨了DeFi中跨链桥的最佳实践,详细介绍了跨链桥的工作原理(包括锁定铸造、流动性池和意图型桥接),并深入分析了智能合约漏洞、私钥泄露等主要风险。文章提供了七项安全使用跨链桥的建议,如进行尽职调查、偏好非托管架构、限制交易金额、核对交易信息、了解费用、使用聚合器和撤销旧授权。最后,文章还展望了零知识证明等技术对未来跨链桥安全的积极影响,并介绍了CoW Swap的桥接聚合功能。 跨链桥 DeFi 安全实践 智能合约漏洞 流动性池 桥接聚合器 CowSwap 发布于 2026-02-28 739 0 0
臭名昭著的漏洞文摘 #2 本文是The Notorious Bug Digest #2,总结了近期Web3的多个安全漏洞和事件。讨论了利用手续费代币的交易滑点漏洞进行三明治攻击、zkLend协议由于向下舍入错误被攻击事件,并分析了攻击者如何利用未经验证的合约以及智能合约中不安全的访问控制、不足的输入验证或未初始化的状态漏洞获利。此外,还分享了Stellar和Uniswap Hooks库在代码审计中发现的问题。 web3安全 智能合约漏洞 三明治攻击 重入攻击 代码审计 手续费代币 OpenZeppelin 发布于 2025-03-19 676 0 0
谁在盗取你的加密资产?——2025年Web3用户安全与风险趋势报告 该报告分析了2025年Web3领域的主要安全事件和风险趋势,指出攻击事件数量增加,攻击者采用“精准打击”和“广撒网”策略。涉及Bybit、Cetus Protocol、Balancer等多个重大安全事件,强调了新型攻击手段,如AI深度伪造、供应链攻击等,并针对用户和项目方提出了安全建议。 web3安全 智能合约漏洞 私钥盗窃 钓鱼攻击 AI深度伪造 供应链攻击 goplussecurity 发布于 2025-12-31 1935 0 0
BlockThreat - 2025年第45周 本周加密领域发生了多起安全事件,包括 Balancer 被盗 1.32 亿美元,Stream Finance 因损失 9300 万美元导致 DeFi 市场出现连锁反应。此外,还关注了 MIT 兄弟利用 MEV 漏洞的案件审判,以及朝鲜 IT 工作者相关的网络犯罪活动,并介绍了多个安全研究和工具。 智能合约漏洞 MEV 网络犯罪 Balancer Stream Finance 朝鲜IT工作者 BlockThreat 发布于 2025-11-18 4921 0 0
BlockThreat 安全周报 - 2025年第40周 本周DeFi领域发生多起安全事件,损失近500万美元,Abracadabra协议遭受第三次攻击,损失180万美元;SBI Crypto损失2400万美元;7702钱包漏洞被利用,损失30万美元。此外,还讨论了英特尔和AMD的可信执行环境漏洞、Discord数据泄露事件,以及与加密货币相关的犯罪活动、政策和网络钓鱼攻击,以及多个安全研究和工具。 DeFi安全 智能合约漏洞 加密货币安全 网络钓鱼 区块链安全 漏洞分析 BlockThreat 发布于 2025-10-14 1642 0 0
慢雾月度安全报告:7月损失估计达1.47亿美元 2025年7月,Web3安全事件导致约1.47亿美元的损失。主要攻击事件包括CoinDCX交易所被盗4420万美元,GMX交易所因漏洞损失4200万美元,BigONE交易所遭受供应链攻击损失2700万美元,WOO X交易所因钓鱼攻击损失约1400万美元,ZKSwap跨链桥因漏洞损失约500万美元。智能合约漏洞和交易所成为主要攻击目标。 web3安全 智能合约漏洞 交易所攻击 钓鱼攻击 供应链攻击 区块链安全 slowmist 发布于 2025-08-02 1744 0 0
区块链系统的常见威胁及应对之策 本文探讨了区块链系统面临的常见威胁,包括51%攻击、女巫攻击、智能合约漏洞、网络钓鱼和社会工程攻击以及路由攻击和日蚀攻击。同时,文章还讨论了缓解这些威胁的策略,例如增强网络安全、开发安全的智能合约、加强用户安全、改善区块链基础设施以及促进监管和行业协作。最后,文章还展望了区块链安全的新兴趋势和未来考虑,包括密码学和共识机制的进步、去中心化安全解决方案的兴起以及监管和法律的发展。 区块链安全 智能合约漏洞 51%攻击 女巫攻击 网络安全 密码学 blockapps 发布于 2024-04-18 1965 0 0