文章分析了当前区块链安全领域中，私钥泄露已成为最主要的攻击手段，并提出了一个访问控制成熟度模型，从单一EOA控制到完全不可变的架构，为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导，建议开发者尽早关注架构设计，采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。

本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算，并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞，包括可能破坏系统安全性的soundness和under-constrained问题。

本文针对托管稳定币发行商提出了一个安全评估框架，称为“托管稳定币 Rekt 测试”，包含九个关键问题，旨在帮助用户评估发行商的运营弹性，并帮助发行商识别安全程序的关键差距。强调了在稳定币发行中，运营安全的重要性，并提供了具体的实践建议，以应对新兴威胁，保护用户资金安全。

本文深入探讨了Passkey背后的密码学原理，包括WebAuthn规范如何增强安全性以抵抗网络钓鱼，以及Authenticator的类型。同时讨论了Passkey的威胁模型、局限性，以及用于密钥生成和证书存储的扩展功能。最后，文章为用户和开发者提供了采用Passkey的建议，并展望了其在现代身份验证系统中的未来。

本文档介绍了如何在软件开发生命周期（SDLC）中持续维护和更新威胁模型，以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型，包括确定需要更新的关键组件、新增风险的跟踪，以及如何将威胁模型集成到SDLC的各个阶段，从而创建一个威胁和风险分析信息生命周期TRAIL。

本文介绍了TRAIL，一个由Trail of Bits开发并不断改进的威胁建模流程。TRAIL旨在帮助客户跟踪和记录有缺陷的信任假设和不安全的设计决策对系统架构的影响，通过识别架构层面的风险并提供短期和长期缓解方案，使客户能够随着系统变化自主更新威胁模型，同时还阐述了TRAIL的工作原理，以及轻量级和综合性威胁模型的产出。

Bybit交易所遭受了15亿美元的重大黑客攻击，这并非由于智能合约或代码错误，而是由于操作安全失败。文章探讨了如何通过威胁建模来识别和缓解这类安全漏洞。强调了威胁建模在识别系统性弱点中的作用，并提出了改进安全控制的具体建议，如端点安全、交易验证流程、钱包配置和操作隔离。

Bybit交易所遭遇了15亿美元的加密货币盗窃，攻击者通过入侵多个签名者的设备，操纵钱包界面，并在签名者不知情的情况下收集了所需的签名。文章分析了这一事件，并将其与WazirX和Radiant Capital的攻击联系起来，指出攻击者不再利用智能合约漏洞，而是转向攻击交易所的运营安全，强调行业需要加强运营安全，实施隔离、验证和检测等措施，以应对日益复杂的威胁。

该博客文章重点介绍了新的白皮书《防止中心化加密货币交易所上的账户盗用》中的关键点，该白皮书记录了专门针对 CEX 的 ATO 相关攻击媒介和防御措施。文章讨论了攻击者如何利用 CEX 的安全漏洞盗取用户账户，并介绍了CEX应该采取哪些安全措施来保护用户账户和资金安全，包括加强技术安全机制、流程和文档。

本文深入探讨了密钥派生函数（KDFs）在密码学应用中的重要性，并着重指出了KDFs使用中常见的误用情况，同时阐述了密钥派生的最佳实践，详细讨论了诸如HKDF的使用、盐值处理、以及如何组合多个密钥源等问题。此外，文章还介绍了如何安全地组合多个密钥，以应对量子计算带来的潜在威胁，并强调在选择KDF时应根据具体需求选择合适的工具，避免安全漏洞。