文章深入分析了软件供应链中存在的信任漏洞,详细阐述了诸如拼写错误攻击、依赖混淆、秘钥泄露、管道投毒和恶意维护者等攻击手段,并介绍了TypoGard、Zizmor、PyPI可信发布和证明、Homebrew构建溯源以及Go Capslock等新兴防御技术,旨在将隐式信任转变为显式、可验证的保障,从而提高软件供应链的安全性。
本文分析了Sui Move语言如何通过“热土豆”模型在编译层面强制执行还款,从而显著提高闪电贷的安全性。与Solidity依赖回调和运行时检查不同,Sui Move利用其独特的对象模型和可编程交易块(PTB),使得闪电贷的安全性成为一种语言级别的保证,而非开发者责任。
本文讨论了传统冷存储方案在以太坊上面临的风险,并提出了一种更安全的替代方案:利用智能合约的可编程性来构建自保护的冷存储钱包。这种方法通过实施角色分离、时间锁和速率限制等多层安全控制,即使在多重签名密钥泄露的情况下,也能最大程度地减少资金损失。
文章揭示了Electron应用中一个名为CVE-2025-55305的漏洞,该漏洞允许攻击者通过篡改V8堆快照文件,绕过代码完整性检查,从而在Signal、1Password、Slack和Chrome等应用中植入后门。尽管Electron提供了完整性检查机制,但默认未启用,且未能覆盖V8堆快照,使得攻击者能够利用此漏洞实现持久性的隐蔽攻击。
本文讨论了Web3生态系统中长期被忽视的盲签问题,以及Bybit被黑事件暴露出的用户验证交易信息的不足。文章分析了EIP-712的局限性,并提出了EIP-7730作为一种解决方案,通过使硬件钱包能够解码交易,帮助用户理解他们实际签署的内容,从而提高交易的安全性,并降低了开发者的实施负担。
本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像,利用图像缩放算法的特性,在图像缩小时嵌入恶意提示,实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证,并提供了防御建议和开源工具Anamorpher。
Deptective 是 Trail of Bits 发布的一款开源工具,旨在自动发现软件运行所需的依赖包。通过跟踪软件的系统调用,Deptective 能够识别缺失的文件,并在 Linux 发行版的索引中查找包含这些文件的软件包,最终确定并安装所有必要的依赖项,从而成功运行软件。
文章分析了当前区块链安全领域中,私钥泄露已成为最主要的攻击手段,并提出了一个访问控制成熟度模型,从单一EOA控制到完全不可变的架构,为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导,建议开发者尽早关注架构设计,采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。
本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算,并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞,包括可能破坏系统安全性的soundness和under-constrained问题。
本文针对托管稳定币发行商提出了一个安全评估框架,称为“托管稳定币 Rekt 测试”,包含九个关键问题,旨在帮助用户评估发行商的运营弹性,并帮助发行商识别安全程序的关键差距。强调了在稳定币发行中,运营安全的重要性,并提供了具体的实践建议,以应对新兴威胁,保护用户资金安全。