内存安全 ≠ 智能合约安全:为什么Solana程序仍然需要审计 文章强调了Rust的内存安全特性并不能完全保证Solana智能合约的安全性,Solana程序仍然需要进行安全审计,以发现逻辑错误、权限验证缺失、不安全的跨程序调用等问题。 Solana Rust 智能合约 安全审计 漏洞 内存安全 Anchor 跨程序调用 Three Sigma 发布于 2025-06-26 2855 1 2
原生 Solana:关键安全检查 in Solana 60 天课程 本文详细介绍了Solana原生程序开发中的多项关键安全检查,包括验证账户所有权、系统变量和程序ID、要求签名者、强制可写账户、跨程序调用后状态重载以及防范代币账户粉尘攻击和PDA账户抢占。文章通过具体代码示例和真实案例(如Wormhole漏洞)深入剖析了潜在的安全风险及其修复方法,旨在帮助开发者构建更安全的Solana程序。 Solana 安全 原生程序 漏洞 CPI 账户所有权 粉尘攻击 PDA抢占 RareSkills 发布于 2026-02-28 1059 0 0
在Astar中发现关键漏洞 2023年11月,研究员Faith在Astar上发现了一种漏洞,攻击者可以利用该漏洞窃取价值约40万美元的代币。该漏洞涉及EVM上的智能合约与ERC-20资产的转账操作。通过对漏洞的检测和示例,文章深入分析了漏洞的原理、影响及修复措施。 Astar 漏洞 ERC-20 智能合约 EVM 安全研究 zellic 发布于 2023-12-06 1728 0 0
以太坊智能合约安全建议和最佳实践 本文档提供了以太坊智能合约的安全建议和最佳实践,涉及ERC20代币标准、EVM特性、重入攻击、算术溢出、自毁函数、调用函数、gas限制、编译版本、合约部署、代码规范、代码审计等多方面的安全问题,并针对这些问题提供了相应的解决方案和防范措施。同时,本文档还列举了一些常用的安全工具,帮助开发者进行智能合约的安全分析和测试。 以太坊 智能合约 安全 Solidity语言 漏洞 最佳实践 guylando 发布于 2022-01-17 1944 0 0
Gains Network某些分叉中的问题 本文讨论了Gains Network的一个分叉存在的两个严重漏洞,这些漏洞可能导致用户从流动性池中丢失资金。文章详细介绍了Gains的工作原理,以及如何利用这些漏洞进行高达900%的交易利润,最后提及了相关的补救措施和修复方案。 Gains Network 漏洞 流动性池 交易利润 智能合约 安全审计 zellic 发布于 2024-04-20 1968 0 0
如何从完美无瑕的智能合约中窃取 1 亿美元 作者披露了Moonbeam网络中一个严重的设计缺陷,该缺陷可能导致DeFi项目损失超过1亿美元的资产。该漏洞与delegatecall和原生合约的交互有关,恶意合约可以利用Balance ERC-20预编译合约中的漏洞,冒充调用者进行未经授权的操作,从而窃取资金。作者通过负责任的披露,帮助Moonbeam和Moonwell团队修复了漏洞,避免了潜在的巨大损失。 delegatecall 智能合约 漏洞 Moonbeam 预编译合约 安全 pwning 发布于 2022-06-29 1378 0 0
揭密1300万美元的Abracadabra GMX V2漏洞 in 攻击事件解析 2025 本文详细分析了Abracadabra平台的GMX V2 CauldronV4漏洞,攻击者利用内部分数值未正确更新的设计缺陷,导致平台损失超过1300万美元。通过复杂的交易结构,攻击者能够在未实际提供足够抵押的情况下提取资金。文章探讨了这次攻击的机制、影响及预防建议。 Abracadabra GMX V2 漏洞 DeFi 攻击分析 智能合约 Three Sigma 发布于 2025-03-29 3495 0 0
在开发过程中保护协议 - 从高级不变式到池排空漏洞 本文介绍了SushiSwap即将推出的Trident平台中的一个池排空漏洞及其修复过程。通过三个步骤,文章详细阐述了如何通过形式化验证技术发现此漏洞,并详细描述了恶意用户如何利用该漏洞进行攻击,最后介绍了SushiSwap所采取的修复措施。 Liquidity Pool 漏洞 形式化验证 Sushiswap 攻击 DeFi GeyerDor 发布于 2021-12-08 1889 0 0
Piger Fabrica综合征:公钥加密的终结? 文章指出研究人员发现数字2不是质数,导致依赖质数的公钥加密技术存在漏洞。许多在线安全系统依赖质数进行加密,如RSA。由于移动设备为了提高计算速度使用了2作为质数,黑客可以利用这个漏洞破解密钥,特别是在使用存在漏洞的Python库PieCryptoMm的移动设备上。文章最后指出这其实是愚人节玩笑。 质数 公钥加密 RSA 漏洞 网络安全 PieCryptoMm billatnapier 发布于 2025-04-02 1928 0 0
Certora CTF 解题报告 本文分析了 Certora CTF 中的多个挑战,揭示了Exchange合约中 toInt256 函数的 off-by-one 漏洞和NISC 合约中 _update 函数的安全漏洞,从而可以在 Vault 中获得巨大的信用额度并交换为 USDC。 智能合约 漏洞 ctf DeFi 以太坊 安全 billh_ 发布于 2026-01-08 698 0 0
使用虚假证明攻击欠约束的Circom电路 in 零知识证明之书 本文深入探讨了 Circom 中的 `<--` 操作符的一个潜在漏洞,展示了如何通过创建伪造的见证文件来利用这一漏洞,从而违背开发者对电路期望的假设。在详细的步骤中,介绍了生成有效证明的过程,以及如何修改二进制见证文件以实现攻击。此漏洞的理解对于开发安全的电路至关重要。 circom 漏洞 证明 见证 电路 安全 RareSkills 发布于 2024-03-20 2652 0 0
Uniswap V4 Hooks 安全性深度剖析:漏洞与分析 本文深入分析了 Uniswap V4 Hooks 的安全性问题,通过分类和分析公开审计报告中的发现,重点关注与自定义 V4 Hooks 相关的安全隐患,特别是那些涉及资金托管和关键应用状态管理的 Hooks。文章探讨了 Hooks 权限配置、回调机制、未处理的 Revert 错误、动态费用管理以及自定义账户处理等方面可能出现的漏洞,并提供了相应的安全建议和启发。 uniswap v4 Hooks 智能合约安全 漏洞 DeFi安全 重入攻击 Cyfrin 发布于 2025-11-15 2571 0 0
智能合约代理模式:2026 年安全指南 本文深入分析了以太坊智能合约可升级性的四种主要模式:透明代理、UUPS、信标代理和钻石标准,探讨了它们各自的EVM底层机制、存储布局管理和安全隐患。文章还回顾了2025年的学术研究,强调了升级机制的复杂性可能掩盖系统性风险,并探讨了如何利用AI辅助审计来提升安全性。最后,文章还讨论了升级合约的审计成本,并提供了常见问题解答,帮助读者更好地理解智能合约代理模式和升级安全性。 智能合约 可升级性 代理模式 EVM 安全 漏洞 zealynx 发布于 2026-02-01 1244 0 0
黑客分析:Platypus Finance,2023年2月 2023年2月16日,Platypus Finance协议遭受黑客攻击,损失约850万美元的稳定币抵押品,原因是其稳定币USP的偿付能力检查机制存在逻辑错误。攻击者能够利用该漏洞,借助闪电贷抵押品进行借款,然后在未偿还债务的情况下提取抵押品。本文深入分析了Platypus Finance合约中的漏洞,并创建了漏洞利用PoC,强调了适当验证的重要性,尤其是在打破正常流程的特殊函数方面。 Platypus Finance 漏洞 智能合约 以太坊 DeFi 攻击 Immunefi 发布于 2023-04-19 1777 0 0
Solana - 首页 - Substack 本文深入探讨了Solana程序安全中一些容易被忽视的漏洞,包括重复可变账户写入导致状态覆盖、Token-Agnostic接口无法保证Token-Agnostic转移、向量长度问题、Lamport转移Kill Switch、预创建ATA账户以及CPI签名者陷阱等。文章通过实例分析了这些漏洞的成因和潜在危害,并提供了相应的防御措施和解决方案,旨在提高Solana程序的安全性。 Solana 程序安全 漏洞 Anchor Token-2022 CPI ATA Substack 发布于 2025-06-01 1492 0 0