本文讨论了传统冷存储方案在以太坊上面临的风险，并提出了一种更安全的替代方案：利用智能合约的可编程性来构建自保护的冷存储钱包。这种方法通过实施角色分离、时间锁和速率限制等多层安全控制，即使在多重签名密钥泄露的情况下，也能最大程度地减少资金损失。

文章揭示了Electron应用中一个名为CVE-2025-55305的漏洞，该漏洞允许攻击者通过篡改V8堆快照文件，绕过代码完整性检查，从而在Signal、1Password、Slack和Chrome等应用中植入后门。尽管Electron提供了完整性检查机制，但默认未启用，且未能覆盖V8堆快照，使得攻击者能够利用此漏洞实现持久性的隐蔽攻击。

本文讨论了Web3生态系统中长期被忽视的盲签问题，以及Bybit被黑事件暴露出的用户验证交易信息的不足。文章分析了EIP-712的局限性，并提出了EIP-7730作为一种解决方案，通过使硬件钱包能够解码交易，帮助用户理解他们实际签署的内容，从而提高交易的安全性，并降低了开发者的实施负担。

本文揭示了一种新型的AI安全漏洞——图像缩放攻击。攻击者通过精心构造的图像，利用图像缩放算法的特性，在图像缩小时嵌入恶意提示，实现数据泄露等攻击。该漏洞已在Google Gemini CLI等多个AI系统中得到验证，并提供了防御建议和开源工具Anamorpher。

Deptective 是 Trail of Bits 发布的一款开源工具，旨在自动发现软件运行所需的依赖包。通过跟踪软件的系统调用，Deptective 能够识别缺失的文件，并在 Linux 发行版的索引中查找包含这些文件的软件包，最终确定并安装所有必要的依赖项，从而成功运行软件。

文章分析了当前区块链安全领域中，私钥泄露已成为最主要的攻击手段，并提出了一个访问控制成熟度模型，从单一EOA控制到完全不可变的架构，为开发者提供了设计更安全、更能容忍私钥泄露的系统的指导，建议开发者尽早关注架构设计，采用多重签名、时间锁、最小权限原则等方法来提高系统的安全性。

本文介绍了Trail of Bits团队对Axiom公司使用Halo2框架构建的区块链系统进行的两次安全审计。该系统允许在以太坊历史数据上进行计算，并使用零知识证明进行链上验证。审计发现了多个严重的安全漏洞，包括可能破坏系统安全性的soundness和under-constrained问题。

本文针对托管稳定币发行商提出了一个安全评估框架，称为“托管稳定币 Rekt 测试”，包含九个关键问题，旨在帮助用户评估发行商的运营弹性，并帮助发行商识别安全程序的关键差距。强调了在稳定币发行中，运营安全的重要性，并提供了具体的实践建议，以应对新兴威胁，保护用户资金安全。

本文深入探讨了Passkey背后的密码学原理，包括WebAuthn规范如何增强安全性以抵抗网络钓鱼，以及Authenticator的类型。同时讨论了Passkey的威胁模型、局限性，以及用于密钥生成和证书存储的扩展功能。最后，文章为用户和开发者提供了采用Passkey的建议，并展望了其在现代身份验证系统中的未来。

本文档介绍了如何在软件开发生命周期（SDLC）中持续维护和更新威胁模型，以便更准确地反映系统的安全风险。本文详细说明了如何调整、维护和使用威胁模型，包括确定需要更新的关键组件、新增风险的跟踪，以及如何将威胁模型集成到SDLC的各个阶段，从而创建一个威胁和风险分析信息生命周期TRAIL。