Web3安全

摘要：本文揭露了区块链领域"貔貅盘"骗局的运作机制，该骗局通过智能合约设计使投资者资金"只进不出"。常见套路包括：仿冒知名项目代币、利用"抢跑"心理、社交媒体诱导投资，以及通过黑名单限制、操控代币余额...

Web3社交工程攻击通过钓鱼手段窃取用户资产，常见方式包括：1.Discord伪装奖品链接诱导授权；2.Twitter假冒空投/NFT活动引导至虚假网站；3.域名篡改（如openai.com-toke...

摘要 本文以TRON钱包为例解析恶意多签风险，揭示黑客通过获取私钥后利用多签机制（保留用户权限但设置共同控制）或直接转移Owner/Active权限的手段控制账户。常见攻击途径包括假钱包下载、钓鱼网站...

CertiK是一家成立于2018年的区块链安全先锋企业，由耶鲁和哥伦比亚大学教授创立，专注于Web3安全。通过AI技术和形式验证等方法，CertiK提供智能合约审计、实时监控(Skynet)、安全评分...

假矿池骗局安全预警 近期假矿池骗局激增，骗子通过Telegram伪造万人群组、提供虚假教程诱导用户质押资金。常见手法包括：伪造高收益矿池、返还假币诱骗追加投资、恶意授权盗取资产、操控平台数据制造盈利假...

摘要 本文以TRON钱包为例解析恶意多签攻击：即使持有私钥，黑客仍可通过添加自身为多签方或转移权限的方式控制用户资产。TRON多签系统包含Owner、Witness、Active三级权限，黑客常通过虚...

背景 空投是Web3项目方快速积累用户的有效营销手段，但用户在参与过程中面临诸多风险。本文分析了假空投骗局、“白给”空投代币及带后门工具等常见陷阱，并提供了防范措施。 风险类型 假空投：黑客盗取官方账...

Web3安全基础设施供应商GoPlus推出全球首个链原生安全防火墙GSM（GoPlus Security Module），已在BNB Chain测试部署。GSM将安全机制直接植入区块链节点，实现交易前...

本文聚焦剪贴板安全风险，揭示其作为加密资产泄露的高危渠道。剪贴板以明文存储数据且开放系统API访问权限，恶意软件可实时监控并篡改内容（如替换加密货币地址）。防范建议包括：避免复制敏感信息、及时覆盖剪贴...

慢雾安全团队在Ethereum Web3安全训练营中深度剖析了Web3钓鱼攻击的八大手法（伪、饵、诱、攻、隐、技、辨、御），揭示攻击者利用空投、高仿账号、搜索引擎排名、TG广告等社会工程学手段盗取用户...