本文是由SlowMist团队发布的关于HuionePay平台在TRON链上USDT交易活动的链上分析报告。报告利用MistTrack工具和Dune Analytics数据面板,深入分析了HuionePay的资金流动模式、交易频率和活跃地址数据,揭示了该平台与非法资金流动的潜在联系,并强调了持续监控和加强AML合规的重要性。
本文主要介绍了使用硬件钱包时可能存在的安全风险,包括购买时的假冒硬件钱包和恶意引导,使用时的钓鱼攻击和中间人攻击,以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险,并提供了实用的安全建议,例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等,旨在帮助用户更好地保护加密资产。
文章探讨了不受限制的大型语言模型(LLMs)的兴起及其在加密货币领域的滥用。攻击者利用这些模型进行网络钓鱼、恶意代码生成和社会工程攻击。WormGPT、DarkBERT、FraudGPT、GhostGPT和Venice.ai等工具被用于各种恶意活动,包括创建虚假项目、生成钓鱼页面和自动化诈骗活动。文章最后强调了加强检测能力、提高防越狱能力以及建立道德和监管保障措施的重要性。
攻击者通过伪造签名检查工具网站,诱导用户输入私钥,从而盗取用户资产。攻击者还冒充安全专家和安全公司,增加欺骗性。用户应保持警惕,通过官方渠道验证信息,切勿泄露私钥。SlowMist 团队将持续揭露此类诈骗行为。
Osiris 浏览器扩展伪装成 Web3 安全工具,通过替换下载链接传播恶意软件,窃取用户的加密资产。该扩展利用 Chrome 的显示缺陷欺骗用户,并利用 chrome.declarativeNetRequest API 动态配置网络请求规则,拦截并替换匹配模式的网络请求。
chrome.declarativeNetRequest
本文深入分析了以太坊即将到来的 Pectra 升级中的 EIP-7702,该提案通过引入新的交易类型,允许 EOA 指定智能合约地址和代码,从而使 EOA 具备可编程性和可组合性,模糊了 EOA 和合约账户之间的界限。
本文分析了一种利用CREATE和CREATE2操作码在不同时间将不同合约部署到同一地址的攻击技术,并提供了相应的防御策略。
CREATE
CREATE2
本文分析了2025年2月zkLend平台遭受攻击事件的细节,攻击者利用闪电贷机制操纵了市场累积值并通过舍入错误进行了资产盗窃,导致近1000万美元的损失。文中提供了详尽的攻击步骤、根本原因以及改进建议,以加强区块链平台的安全性。
KyberSwap Elastic pool 在2023年11月23日遭受攻击,损失约5470万美元。
本文详细分析了Frozen Heart漏洞,这一漏洞源于Fiat-Shamir变换的安全性问题。在阐述Fiat-Shamir变换及其在零知识证明中的应用后,文章探讨了弱Fiat-Shamir变换如何导致攻击者在不知秘密值的情况下伪造证明,从而威胁零知识证明系统的安全性。最后,作者强调在实施过程中必须认真审查Fiat-Shamir变换的正确性。