BlockSec 成为 SEAL Certifications 亚太唯一评估机构,共同推动 Web3 运营安全标准建设

原创 已于 2026-06-16 14:47:00 修改 · 339 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#运营安全 #SEAL Certifications #Web3安全标准
于 2026-06-16 14:43:04 首次发布

过去几年,Web3 安全建设主要围绕智能合约漏洞展开。但随着行业不断成熟,越来越多重大安全事件已经不再局限于代码缺陷。多签签名者遭钓鱼攻击、项目域名被劫持、内部凭证泄露、运维权限失控,攻击者正在绕过经过审计的智能合约,转而直接攻击项目的运营体系。

行业正在意识到,仅仅依靠代码安全已经不足以应对新的威胁模型。

在这一背景下,运营安全(Operational Security)正在成为 Web3 安全建设的重要方向。而要让运营安全真正落地,行业需要的不只是经验分享,更需要一套可验证、可执行、可持续改进的统一标准。

近日,BlockSec 正式成为 SEAL Certifications 首批评估机构**(Certified Assessor)**之一。BlockSec 将与 **SEAL(Security Alliance)**及全球安全社区一道,共同推动 Web3 运营安全标准的建立与落地,并提供 SEAL Certifications 评估和认证服务。

过去几年,行业在智能合约安全方面取得了显著进步。大量协议在上线前都会接受专业安全审查。与此同时,攻击者也在不断调整策略。越来越多攻击并不发生在链上代码层面,而是发生在链下运营环节。包括:

  • 多签签名者设备遭受钓鱼攻击

  • 项目官网和 DNS 被劫持

  • 内部账户凭证泄露

  • 权限管理流程存在缺陷

  • 应急响应机制缺失

这些问题往往不会出现在智能合约代码审计报告中,却可能直接导致资产损失。

对于许多项目而言,真正的挑战不再只是代码本身是否安全,而是如何建立一套覆盖人员、流程和基础设施的运营安全体系。安全建设的重点,正从代码是否安全的单点逐步扩展到整个组织是否具备抵御攻击的能力。

SEAL Certifications:让运营安全变得可衡量、可验证

SEAL(Security Alliance)是由知名安全研究员 samczsun 等人发起的非营利安全组织,长期参与安全事件响应、白帽协调、威胁情报共享以及行业安全最佳实践建设。过去几年,SEAL 在攻击事件应急响应、资产保护以及安全社区协作方面发挥了重要作用,并持续推动行业形成更加成熟的安全机制。

基于大量真实事件中的经验积累,SEAL 推出了 SEAL Certifications,希望将运营安全能力沉淀为一套开放、透明且可验证的行业标准。

与智能合约审计不同,SEAL Certifications 关注的是协议的运营安全能力。目前,该框架覆盖六大核心领域,共细化为 99 个可逐条核验的控制项:

  • 多签运营(Multisig Operations)

  • 资金库管理(Treasury Operations)

  • 事件响应(Incident Response)

  • DevOps 与基础设施安全(Infrastructure Security)

  • DNS 与域名管理(DNS & Domain Registration)

  • 身份与账户管理(Identity & Access Management)

这些领域正是近年来在大量安全事件中反复暴露问题的关键环节。

SEAL Certifications的正式认证需经过授权的评估机构完成独立评估。通过评估的机构将获得基于**Ethereum Attestation Service(EAS)**签发的链上认证凭证,认证结果公开透明且可验证。

对机构而言,SEAL Certifications 的价值不仅在于发现和改进运营安全中的潜在风险,更在于向用户、合作伙伴、机构客户以及投资方证明其已经建立起符合行业最佳实践的安全运营体系。对于需要与机构客户、支付伙伴、托管机构或监管相关方合作的项目而言,这类标准化认证也有助于降低尽职调查成本,建立更强的市场信任基础。正如 SOC 2、ISO 27001在传统互联网和金融行业中的作用一样,SEAL Certifications 正在成为 Web3 领域衡量运营安全成熟度的重要参考标准。

为什么 BlockSec 成为首批评估机构

BlockSec 成为首批 SEAL Certifications 评估机构,是来自长期安全实践积累的专业能力与行业贡献。

作为全球领先的 Web3 安全公司之一,BlockSec 多年来持续工作在安全事件的一线。从智能合约审计、安全监控与攻击检测,到白帽救援、事件响应、链上资金追踪以及数字货币合规建设,BlockSec 长期参与真实安全事件的发现、分析与处置。

  • 安全审计服务已覆盖数百个Web3 项目、公链和钱包

  • 链上监控安全产品(Phalcon Security)服务了多家头部项目方、交易所,其独创的链上攻击阻断方案(STOP)服务了多个 L2 公链。

  • Phalcon Compliance 合规产品和 MetaSleuth 链上资金追踪产品被全球监管机构及合规团队广泛采用。

  • 长期支持行业白帽协作与安全社区建设,参与数十起重大安全事件的应急响应与资产保护,白帽救援阻断了二十几起攻击,帮助项目方挽救超过 2000 万美元的损失。

这些实践让我们不仅理解漏洞如何产生,更理解攻击者如何突破组织防线,以及协议方应如何建立完整的运营安全体系。

SEAL Certifications 所关注的多签管理、资金库运营、身份权限控制、基础设施安全以及事件响应能力,也正是 BlockSec 多年来持续投入和积累的重要方向。

成为首批评估机构,是对这些长期实践经验和专业能力的认可,也意味着 BlockSec 将进一步参与运营安全标准在行业中的推广与落地。

博客
鸠占鹊巢: Furucombo 攻击事件分析
06-29 37
Furucombo作为著名的DeFi资产投资组合工具,其最大特点是为用户提供了无限DeFi协议组合集成功能与极其简化的操作页面。其中的平台功能包含了Aave平台的闪电贷功能以及各个DeFi交易所的换汇功能。Furucombo的出现极大简化了用户操作的复杂度,为用户的投资策略的实施提供了极大的帮助。此次事件主要涉及到Furucombo-Proxy合约以及AaveLendingPoolV2合约。其中,Furucombo-Proxy合约为Furucombo平台用于执行、验证用户请求的合约。
博客
以太坊钓鱼合约:因为了解,所以上当
06-29 44
人为财死,鸟为食亡。15个以太币虽然价值很高,看起来很诱人,但是这些钓鱼合约其实都是设计好的,不可能让你真正吃到这香喷喷的鱼饵的,所以,如果你也遇到一个看起来有漏洞、只需要动动手指就能攻击的合约,一定一定要多想想!顺带一提,如果想持续关注这一类钓鱼合约或者你想到了反钓鱼的方法,可以在Etherscan上查看这个地址的交易,看它最新的交易修改了哪个合约中的变量,比如这笔交易:再点击State,可以看到三个地址再点击最上面的这个地址就可以看到最新的钓鱼合约了。
博客
BlockSec 与 Jumio 达成战略合作,共建 Web3 端到端合规闭环
06-29 87
目前,BlockSec 已服务全球逾 500 家客户,既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等,也包括了权威监管机构及咨询机构,如联合国、SFC、PwC、FTI Consulting 等。BlockSec 与 Jumio 的合作,正是要把这两条链路在产品层面合并,让合规团队在一个工作流里完成"用户身份 + 链上行为"的双重审查。
博客
Interlace × BlockSec 达成战略合作:共筑 Agentic Payment 安全基石
06-29 111
围绕这一变化,Interlace 正在构建面向 AI Agent 的原生支付基础设施并上线 Agent Card 产品,其核心并不是简单提供支付接口,而是让智能体在可控、可编程的规则体系下完成自主支付,Agent Card 为智能体提供了具备边界约束的支付能力,使其既能自主执行交易,又有效规避失控风险。对于开发者值得关注的是,通过零代码或低代码配置(如 skills.md 或 MCP),开发者可以快速将支付能力嵌入智能体工作流,使支付成为其执行能力的一部分,而非额外集成的功能模块。
博客
一个负数是怎么掏空整个金库的
06-28 211
根因是 getLpLiquidityBalance() 中两个叠加的缺陷:一次审计后的 LP 余额记账重构引入了舍入不对称,可能产生一个略微为负的中间值,而一处不安全的 int256 到 uint256 类型转换将该负值静默包装为接近最大值的无符号整数,而不是回滚交易。这套记账机制源自一次审计后的重构,将原有的基于份额的累加器替换为直接余额追踪。直接原因是一次错误的授权,而因为 SquidMulticall 接受不受限制的调用者,任意目标和任意 calldata,任何错误指向它的授权都会立即被完全利用。
博客
去中心化困境:KelpDAO 危机中的级联风险与紧急处置权
06-28 209
这些响应是有效的、透明的,也可以说是必要的,同时也是 "permissionless" 存在实际边界的明确证明。在 KelpDAO 事件中,多个协议同时行使了中心化的紧急权力:Aave 冻结了五条链上的市场,Arbitrum Security Council 执行了强制转账,KelpDAO 在全局暂停了合约。Aave 的 E-Mode 为 rsETH 设定的 LTV 为 93%,意味着每存入 1 美元被污染的 rsETH 就能借出 0.93 美元的 WETH。Aave 的参数是市场上最激进的。
博客
你没买过 rsETH,但你的 WETH 被冻了
06-27 140
2026年4月13日至4月19日期间检测到四起攻击事件,涉及 Ethereum、Unichain、Arbitrum 和 NEAR 等多条链,总估计损失约 $310M。攻击向量包括针对 LayerZero DVN 的 RPC 基础设施毒化、MMR 证明伪造、保险基金中的有符号整数滥用,以及保证金交易协议中的循环交换路径利用。KelpDAO 事件($290M)表明跨链桥安全已超越智能合约层面,延伸到链下验证基础设施。
博客
两个 RPC、两个签名、一条循环路径 —— 搬走 $5.9 亿
06-27 157
2026年4月18日,KelpDAO 的跨链桥遭受攻击,损失约 2.9 亿美元。攻击的根本原因在于 KelpDAO 采用了,使跨链消息验证完全依赖单一验证者。攻击者通过污染所信任的 RPC 基础设施,诱导该唯一验证者为一条伪造的跨链消息完成签名确认,最终导致以太坊侧在 Unichain 上并不存在对应源链事件的情况下,错误释放了 116,500 枚 rsETH。此次事件并非源于 LayerZero 协议本身的合约漏洞,而是桥接配置与基础设施信任模型上的系统性安全失效。
博客
用你自己的签名,打你自己
06-26 209
Volo 策略路径把提取权限委托给任何持有 operator 私钥的人:start_op_with_bag_v2() 只做两项检查(assert_operator_not_freezed(operation, cap) 和 assert_single_vault_operator_paired(operation, vault.vault_id(), cap)),两者都只验证传入的 capability 是已注册的 operator。在铸造时验证证明是更彻底的修复,因为它把对密钥托管的依赖整个去掉。
博客
机器人把钱主动送上门,1500 万没了
06-26 159
但与 wrapper 类型代币合约的交互采用拉取模式:机器人调用 wrapper.wrapTo(),在该调用内部,wrapper 合约调用 realToken.transferFrom(bot, wrapper, amount) 拉取机器人的真实代币。与传统 approval 漏洞——攻击者利用可信 DeFi 合约的缺陷转走用户 approve 给合约的资产——不同,本次攻击方向相反:机器人为了套利主动将自身资产 approve 给不可信的第三方合约,攻击者积累这些对外的、未消耗的授权后一次性收割。
博客
七天蒸发四成,全因一个藏了四年的错误
06-25 212
Zcash Orchard 屏蔽池电路存在严重 soundness 漏洞,可能让 ZEC(Zcash 原生代币)在 Orchard 池内被不可检测地伪造。漏洞自 2022 年 5 月 Orchard 上线以来潜伏超过四年,于 2026 年 6 月 3 日通过紧急网络升级(NU6.2)修复。
博客
登顶顶会|BlockSec 联合研究成果获 SIGMETRICS 2026 最佳论文 Runner-up
06-25 189
BlockSec 与浙江大学、香港城市大学、MBZUAI联合完成的研究论文,获得 SIGMETRICS 2026 最佳论文 Runner-up。本届会议共有约 81 篇论文入选,最终 5 篇进入最佳论文候选名单,我们的论文位列其中。这不仅代表研究成果获得了顶级会议的认可,也说明 BlockSec 长期积累的链上资金追踪经验,可以被整理成一套系统,在真实案件中跑出可验证、可复现的结果。
博客
一个没绑定的参数,让 Aztec 凭空提走 215 万美元
06-24 346
Ethereum 和 Solana 上共 4 起事件,总损失约 $5.98M攻击类型涵盖缺少输入验证(Aztec 和 Raydium)、整数溢出和治理攻击其中两起事件存在共同模式:关键参数或账户未绑定到预期值,攻击者借此操纵了下游计算。两起事件的漏洞代码均已在链上存在数年——Raydium 约 1,254 天,Aztec 的停运后部署超过 2 年。
博客
Web3 Companion:开源的安全 Agentic Wallet
06-24 212
于是我们干脆反过来,把 Agent 放进威胁模型里,再围绕这个不可信的组件设计整个系统:哪怕 Agent 被完全控制了,用户的资产也动不了。第三道,硬策略执行。安全圈对此已经有了共识:让 LLM 直接持有私钥、直接签名交易,在 prompt injection 无法根治的前提下,等于把用户资产暴露在一个随时可能被攻陷的组件面前 [3]。对模型来说,系统提示词、用户消息、从网页抓回来的内容,甚至一个代币的名字,都是同一串 token,它没有一个稳定的办法去分辨哪些是该执行的命令、哪些只是该读的内容 [3]。
博客
链上资金追踪实战:一张依赖中心化交易所的洗钱网络是如何被还原的
06-23 235
2026 年 5 月 20 日,宣布制裁一批与有关的个人和实体,指控他们为芬太尼贩运提供洗钱支持,具体手段包括OFAC这次行动延续了把主要贩毒集团认定为恐怖组织之后的执法节奏,把芬太尼资金网络当成涉毒恐怖融资来打击。这一批被点名的对象里,有两个人的链上痕迹格外清晰。一个是,OFAC 认定他是锡那罗亚贩毒集团 Los Chapitos 派系的核心洗钱协调人,负责把美国的毒品现金换成加密货币、再转回墨西哥;另一个是。
博客
加密货币合规工具横向评测:6 款主流产品技术分析与选型建议
06-23 236
加密货币法规一团糟,因为每个国家都有不同的法律。这给任何加密货币业务带来了很多风险。2024年,受制裁的团体收到了高达162亿美元的加密货币。任何与这些“脏钱”的接触都可能导致巨额罚款或银行账户被冻结。在这些资金造成麻烦之前阻止它们至关重要。这就是为什么最好的加密货币合规软件至关重要。我们帮助自动跟踪这些风险。这样,企业就能保持安全,并有信心蓬勃发展。
博客
30 天 962 个钱包被冻:BlockSec 发布《稳定币发行方冻结风险与财库安全管理白皮书》
06-22 217
在风险识别层面,面向发行方冻结的风险拆解为地址、链路、行为、资金池四个维度,仅看"地址是否命中公开名单"远远不够:OFAC 也明确表示,公开列示的数字货币地址通常不是穷尽的,风险识别必须延伸到关联链路、上下游关系与多跳溯源。在事件归因与沟通层面,"为什么被冻结"这种泛泛追问没有用,企业真正要回答的是几个具体问题:哪一批资产触发了风险、风险来自上游下游还是历史污染、是否已扩散到主资金池、哪些地址和交易需要重点解释。第一条主线,是稳定币发行方为什么"能"冻结、又在"什么场景下"会冻结。
博客
BlockSec USDT 冻结追踪器接入 Telegram 实时推送
06-21 170
每条推送都包含合约方法、涉及金额、多签签名进度、UTC 时间、链上交易哈希、目标地址,交易哈希与地址都直接挂上 TronScan、Etherscan 跳转入口。Tether 在 Ethereum 与 Tron 上的每一笔冻结、解冻、销毁,从多签提案被签名、执行完成,到链上真正生效,都会自动推送到订阅者的 Telegram 频道。每天 UTC 00:00,频道额外推一份 Daily Summary,分链给出三类事件的笔数与金额,并附上 Tether 多签提案的提交、执行、待执行状态。
博客
1 wei USDC 换走 1,291 WETH
06-21 217
由于签名者检查查找的是 varg4 (攻击者合约),而 transferFrom 扣款的是 varg5 (TrustedVolumes),因此每笔订单都从 TrustedVolumes 转移资金。核心问题是费率比较函数 (ifixed::less_than_eq) 以 signed 语义解释 unsigned 费率值,再加上 create_integrator_info() 缺少权限和范围校验,攻击者可以注入在 signed 比较中表现为负数的值,而该值在结算中被转化为正的保证金增加。
博客
时间检验|BlockSec 联合创始人研究获 IEEE S&P 2026 Test-of-Time Award
06-20 221
周亚金在获奖致辞中提到,这篇论文在 14 年后能够得到社区的认可,恰恰说明真正有影响力的安全研究,不仅应该推动学术进步,更应该解决真实世界中的问题,真正帮助到现实中的人。他同时表示,这一理念也深受其导师 Xuxian Jiang 教授的影响:安全研究不应只停留在论文中,而应真正进入现实系统、应对真实威胁,并持续产生长期而实际的价值。周亚金(中)在 IEEE S&P 2026 开幕式上接受 Test-of-Time Award。Test-of-Time Award(时间检验奖)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值