阿菜种菜的菜园子

摘要： 背景 ZetaChain 是一条内置跨链托管与消息传递的 Layer 1，其 PoS 验证者通过运行多链节点、以 TSS 联合签名的方式在 ZetaChain 与其他链之间传递消息并执行交易。 20260428，ZetaChain 遭受了跨链调用攻击，由于对跨链信息缺乏校验与限制，黑客通过构造恶意的 阅读全文

摘要： 前言 Kimi k2.6 是月之暗面推出的新一代代码大模型，在代码生成、Agent 能力和长上下文理解上都有显著提升。虽然 Kimi 订阅计划支持在 Claude Code 上进行配置使用，但此前 Kimi k2.5 在 Claude Code 中接入的配置方式已失效。无论你是想寻找 Claude 阅读全文

摘要： 背景信息 20260413，Ethereum 链上的 Hyperbridge 协议遭受了验证绕过攻击，攻击者绕过了 MMR 证明检查，获取到了 Ethereum 链上 DOT 代币的铸币权限。随后通过增发了 1 Billion DOT 代币进行抛售，获取 110.8 ETH （约 22 万美元）。 阅读全文

摘要： 1. 背景 现在所有的安全公司以及安全研究人员都在用 AI 协助进行代码审计与漏洞挖掘，哥们儿也不例外，也在干这个事儿：把代码审计的流程整理成 Skill，然后提供给大模型作为代码审计的指引。 那么在大模型进行代码审计这个领域，有一个绕不开的痛点，就是大模型处理大量代码时，由于上下文窗口容量不足容易 阅读全文

摘要： 案例背景 20260109，ETH 链上的 Truebit Protocol 遭受了黑客攻击，损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷，购买大量 TRU 代币时会因为 0.6.10 版本没有防溢出机制而发生上溢出得到 0 值，使得攻击者可 阅读全文

摘要： 背景 Fuzz（模糊测试）是一种通过自动生成大量随机或半随机输入来测试程序，以发现意外行为、崩溃或漏洞的软件测试技术。 Medusa 是由 Trail of Bits 开发的开源智能合约模糊测试工具，基于 go-ethereum 构建，灵感来源于其前身 Echidna。它专门用于检测 Solidit 阅读全文

摘要： 背景 20260109，ETH 链上的 Truebit Protocol 遭受了黑客攻击，损失约 2600 万美元。漏洞原因是计算购买 TRU 代币所需要的 ETH 数量的计算公式设计存在缺陷，购买大量 TRU 代币时会因为 0.6.10 版本没有防溢出机制而发生上溢出得到 0 值，使得攻击者可以以 阅读全文

摘要： 背景 FPC 是 BPE-20 项目，实现了复杂的交易机制，包括买卖手续费、流动性池燃烧机制、限制交易频率、限制交易数量等功能。漏洞产生的原因是当用户卖出代币时，合约会从流动性池中燃烧代币（而非从卖出者余额中燃烧），导致池子中 FPC 代币数量减少，价格抬高。 项目方应该是为了加上流动性池燃烧机制， 阅读全文

摘要： 项目背景 Aave 是一个去中心化借贷协议：用户可以存入资产赚取利息，也可以将资产作为抵押品借出其他资产，利率由市场供需自动调节，当抵押品价值不足时通过清算保护存款人。 Aave 在 DeFi 借贷市场中占据了 59% 的市场份额，并持有 DeFi 中 61% 的活跃借款规模。该协议今年还产生了 8 阅读全文

摘要： 背景信息 20251217，Yearn 距离上次被攻击不到一个月，又被攻击了。这次被攻击的是自动化收益优化金库 yTUSD。攻击的原因是因为 yTUSD 协议错误配置了相关的衍生品代币地址，导致攻击者可以通过该代币操纵 share 价格，套取超额的 yTUSD 代币。 Exploit TX：http 阅读全文