目录：・Taiko 的独特之处・证明的可信度・基于争议的 Rollup・多重验证系统・验证者可用性・动态配置调整・成本与安全的权衡・守护验证者・下一个测试网Taiko 的独特之处首先，让我们了解一下 Taiko 与竞争对手的区别：・无需许可和去中心化：Taiko 是一种基础 Rollup（Based Rollup），在竞品中尚属首例。它没有中心化的排序器，而...

12月28日消息，据The Block报道，Osmosis区块链上永续交易协议Levana Protocol成为了一个漏洞的受害者，导致其流动性池损失超过110万美元。根据该团队提供的事后分析报告，该漏洞发生了13天。在12月13日至26日期间，攻击者耗尽了Levana 10%的流动性池。攻击者利用了Osmosis链上的拥塞攻击，这阻碍了Levana用户与...

12月26日消息，Atomicals Protocol 在X平台表示，Neutron Protocol 团队对 Atomicals ARC20 代码优化的 atomicals-js CLI（0.1.63 版本）存在漏洞，目前正在修复，该版本无意间广播了一个具有无效 Bitwork 的新交易。请用户在修复期间使用之前的版本（0.1.62）。...

12月25日消息，Kyber Network 首席执行官 Victor Tran 在 X 平台表示，在过去的一个月里，KyberSwap 由于 Elastic 漏洞而面临前所未有的挑战。但包括聚合器和限价订单功能在内的核心业务仍然表现强劲。Kyber Network 将推出 Zap API，这是一项创新开发，将使 dApp、钱包和其他项目成为用户访问 De...

12月21日消息，Web3安全机构Wallet Guard发文表示，谷歌已针对新的零日漏洞（CVE-2023-7024）发布紧急更新，建议用户及时更新Chrome浏览器（包括Brave、Opera和Edge）。...

12月20日消息，加密钱包Atomic Wallet近日宣布启动价值100万美元的漏洞赏金计划。据该帖子称，该钱包开发团队正在邀请世界各地的白帽黑客和安全专家来发现其开源代码中的软件漏洞和安全漏洞。发现最严重类型的漏洞并向团队报告的白帽黑客将获得10万美元奖金，这类型的漏洞被定义为“在没有物理访问、安装恶意软件或社会工程的情况下攻击/耗尽钱包的能力，表明实...

12月19日消息，CertiK官方Twitter发布高危安全预警，敦促所有OKX iOS用户立即升级应用至最新版本。本月初，CertiK的SkyFall团队发现并向OKX通报了一项在OKX移动端的高危远程代码执行漏洞。今天，OKX团队在其发布的新版本中已修复该漏洞。为了安全考虑，各位用户应立即停止使用旧版本应用，以免遭受黑客控制和资产被窃取的风险。...

12月18日消息，基于Solana的游戏生态系统Aurory推特发文称，几个小时前，我们的团队在市场上发现了不寻常的活动。在经过快速调查后，我们发现一名攻击者利用市场的购买端点漏洞，增加了其在SyncSpace的AURY余额。这使他们能够将大约60万枚代币提取到Arbitrum网络，然后出售这些代币。团队已经禁用了SyncSpace进行维护，维护期间资产将...

12月14日消息，Tether首席执行官Paolo Ardoino在X平台上表示，Tether刚刚冻结了Ledger漏洞利用者的地址。...

12月10日，Ordinals 拓展协议 Veda 在X发文宣布，该协议的启动由于不可抗力将无限期推迟，Veda-core和Veda-bvm将开源。Veda协议的目的是在不改变比特币核心共识的情况下解决比特币中缺乏 L1 层智能合约的问题。令人意外的是，在发布推迟消息的2小时前，Veda曾宣布即将启动，并已制定好其代币经济学及代币标准，已经在为其Ordina...

12月13日消息，安全公司MetaTrust Alert监测显示，OKX DEX漏洞利用造成的总损失现已达到 270 万美元。提醒用户尽快撤销对OKX DEX: TokenApprove合约（合约地址：0x40aa958dd87fc8305b97f2ba922cddca374bcd7f）的授权。今日早些时候，OKX表示，资产转移事件是由废弃的DEX做市商合...

12月13日消息，Paradigm研究员samczsun再次发推称，Twitter的一项关键漏洞已被修复。技术摘要： 此漏洞是Twitter子域中的反射型跨站脚本（XSS）漏洞，并伴随着对CORS（跨源资源共享）/CSP（内容安全策略）的绕过，使得可以作为本地认证用户向Twitter API发出任意请求。修复此漏洞后，Twitter用户的账户安全性得到了加...

12月13日消息，Paradigm研究员samczsun发文称，Twitter出现一个关键漏洞，该漏洞允许黑客通过仅点击一个链接就能获得用户账户的完全访问权限。这意味着黑客可以进行推文、转推、点赞、屏蔽等操作，但无法更改用户密码。在此问题得到解决之前，为了保护自己的账户安全，建议用户安装广告拦截器uBlock Origin，以减少遭受此类攻击的风险。uBl...

12月12日消息，比特币核心软件Bitcoin Core至26.0版本和Bitcoin Knots至25.1.knots20231115版本之前存在的一个漏洞CVE-2023-50428已被NVD（美国国家漏洞数据库）正式采纳。这个漏洞允许通过将数据作为代码伪装（例如，使用OP_FALSE OP_IF）来绕过数据载体大小限制，该漏洞在2022年和2023年...

12月9日消息，据Cointelegraph报道，区块链安全公司 Cyvers Alerts检测到价值 5000 万美元的 HXA 代币的变动，HXA 代币是 Herencia Artifex NFT 项目的原生实用代币，与 KyberSwap 漏洞利用者相关。 KyberSwap 漏洞利用者的地址使用“转账功能”从以太坊地址获取了这些代币。Cyvers...

12月10日消息，Bitcoin Core客户端开发人员Luke Dashjr推特发文称，铭文所利用的Bitcoin Core客户端漏洞已被分配标识符CVE-2023-50428。据此前消息，铭文正在利用Bitcoin Core客户端的一个漏洞向区块链发送垃圾信息。自2013年以来，Bitcoin Core允许用户设置在中继转发或挖矿交易时的额外数据大小限...

12月9日消息，慢雾创始人余弦在 X 平台表示：“铭文这个问题被分配了个 CVE 编号，这是釜底抽薪了，态度鲜明地定性漏洞了。CVE 编号不是什么新鲜事，许多安全团队/个人都可以申请，我们没太看重这玩意…但可能比特币生态相关角色会看重这个，毕竟 CVE 编号在安全行业是最知名的漏洞证明之一”。此前消息，Luke Dashjr表示铭文所利用的Bitcoin...

12月10日消息，据The Block报道，Compound DAO有关奖励匿名开发者“KP”的提案未能通过社区投票，该开发人员报告并帮助修复了一个漏洞。黑客可利用该漏洞直接窃取用户资金，但成本高到很难获利。在发现并验证漏洞后，KP将其报告给Compound及其安全合作伙伴OpenZeppelin，并提供了包含攻击概念验证模拟的代码存储库。这个漏洞很快被修...

自 12 月 6 日 Bitcoin Core 开发人员 Luke Dashjr（@LukeDashjr）在社交平台发文表示「铭文在利用 Bitcoin Core 中的漏洞向区块链发送垃圾邮件」「漏洞修复后铭文也将不复存在」后，加密社区内风波不断，在此后的两天内对这一言论的讨论热度也在不断攀升。而从昨日晚上起，舆论风向似乎有了一些细微的变化。「保卫铭文」热度...

12月8日消息，去中心化交易所Velodrome在X平台上表示，今日OpenZeppelin团队向该团队披露了Thirdweb相关漏洞的详细信息。Velodrome已经确定了Relay合约中的部分功能存在被破坏可能，因此将暂时停用Relay，直到进行必要的调整。需要明确的是，这些问题都不会让任何用户资金或veNFT面临风险，核心合约均未受到已识别漏洞的影响...

12月8日消息，Web3反诈骗平台Scam Sniffer发帖称，利用Thirdweb相关漏洞，攻击者可以调用转发器（Forwarder）来调用ERC20代币的任何功能，例如销毁或转移。此前今日早些时候消息，Thirdweb漏洞系两个独立的OpenZeppelin库集成问题导致；515种代币疑似受到Thirdweb相关漏洞影响，其中3种已被利用，攻击者获利...

12月8日消息，安全公司Dedaub在X平台上表示，Thirdweb漏洞的根本原因是，两个独立的OpenZeppelin库，即ERC2771和Multicall，在结合使用时发生了交互不良的问题。这样就可以欺骗_msgSender()，造成各种访问控制问题，包括资金损失。而OpenZeppelin也对此事进行了披露：“我们公开披露一个严重漏洞，该漏洞是由于...

12月7日消息，Web3开发工具平台Thirdweb在X平台上表示，在过去的48小时里，其工具已帮助43条链上的8000多份智能合约缓解漏洞风险。据其所知，有两例未及时缓解智能合约受到了该漏洞的影响。团队还没有透露有关此漏洞的更多细节，以便智能合约所有者有时间采取适当的行动。此前12月5日消息，Thirdweb表示，某常用开源库存在安全漏洞，11月23日前...

12月6日消息，慢雾创始人余弦在X平台发帖称：“比特币核心开发者的这个观点刺激了，如果一切如他所愿，比特币之后的版本会修复他认为的漏洞：序号/铭文是比特币的漏洞，是一种Spam攻击。最开始就争论过这些，现在可能是开刀整治了。我个人感觉没必要修补这个，由于Taproot的引入（好事）不小心打开的这个魔盒带来的影响不是只有一堆堆Spam，还有比特币生态的活跃，...

12月6日消息，此前比特币核心开发人员Luke Dashjr称铭文正利用Bitcoin Core漏洞向区块链发送垃圾信息，希望这会在明年的V27版本之前得到最终修复。而在回复网友针对此问题的回复时，Luke Dashjr表示，该漏洞修复后，意味着Ordinals和BRC-20将不复存在。此外，有网友问是否可以创建一个类似于以太坊的“铭文链”（需定期向比特币...