阿菜种菜的菜园子

摘要： 背景 交易签名一直以来都是安全的兵家必争之地，从直接签名转账，到签名授权，再到签名 permit2 内容，以及 ERC-3009 的 authorization 内容，钓鱼黑客总能够在不同的签名场景中寻找到薄弱之处让用户签下那笔“不明不白”的交易。而这个“防御”的任务，通常是依赖于钱包的签名解析功能 阅读全文

摘要： 背景 随着 AI 能力的不断提升，AI 在代码审计领域已经有了一席之地。我也尝试过去设计不同方法论的审计 skill 去让大模型从不同的角度对代码进行审计，但之前的审计流程编排大多都是串联的，或者说是大阶段串联，每个阶段内部并联执行。这种编排方式也有一定的局限性，当你想设计更为灵活和复杂的流程时，流 阅读全文

摘要： 背景 ZetaChain 是一条内置跨链托管与消息传递的 Layer 1，其 PoS 验证者通过运行多链节点、以 TSS 联合签名的方式在 ZetaChain 与其他链之间传递消息并执行交易。 20260428，ZetaChain 遭受了跨链调用攻击，由于对跨链信息缺乏校验与限制，黑客通过构造恶意的 阅读全文

摘要： 前言 Kimi k2.6 是月之暗面推出的新一代代码大模型，在代码生成、Agent 能力和长上下文理解上都有显著提升。虽然 Kimi 订阅计划支持在 Claude Code 上进行配置使用，但此前 Kimi k2.5 在 Claude Code 中接入的配置方式已失效。无论你是想寻找 Claude 阅读全文

摘要： 背景信息 20260413，Ethereum 链上的 Hyperbridge 协议遭受了验证绕过攻击，攻击者绕过了 MMR 证明检查，获取到了 Ethereum 链上 DOT 代币的铸币权限。随后通过增发了 1 Billion DOT 代币进行抛售，获取 110.8 ETH （约 22 万美元）。 阅读全文

摘要： 1. 背景 现在所有的安全公司以及安全研究人员都在用 AI 协助进行代码审计与漏洞挖掘，哥们儿也不例外，也在干这个事儿：把代码审计的流程整理成 Skill，然后提供给大模型作为代码审计的指引。 那么在大模型进行代码审计这个领域，有一个绕不开的痛点，就是大模型处理大量代码时，由于上下文窗口容量不足容易 阅读全文

摘要： 案例背景 20260109，ETH 链上的 Truebit Protocol 遭受了黑客攻击，损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷，购买大量 TRU 代币时会因为 0.6.10 版本没有防溢出机制而发生上溢出得到 0 值，使得攻击者可 阅读全文

摘要： 背景 Fuzz（模糊测试）是一种通过自动生成大量随机或半随机输入来测试程序，以发现意外行为、崩溃或漏洞的软件测试技术。 Medusa 是由 Trail of Bits 开发的开源智能合约模糊测试工具，基于 go-ethereum 构建，灵感来源于其前身 Echidna。它专门用于检测 Solidit 阅读全文

摘要： 背景 20260109，ETH 链上的 Truebit Protocol 遭受了黑客攻击，损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷，购买大量 TRU 代币时会因为 0.6.10 版本没有防溢出机制而发生上溢出得到 0 值，使得攻击者可以以 阅读全文

摘要： 背景 FPC 是 BPE-20 项目，实现了复杂的交易机制，包括买卖手续费、流动性池燃烧机制、限制交易频率、限制交易数量等功能。漏洞产生的原因是当用户卖出代币时，合约会从流动性池中燃烧代币（而非从卖出者余额中燃烧），导致池子中 FPC 代币数量减少，价格抬高。 项目方应该是为了加上流动性池燃烧机制， 阅读全文