比特币近期引入了V2 P2P传输协议，用于加密节点间的通信。该协议旨在防范此前已知的多种攻击向量（如日蚀攻击、降级攻击等）。本文分析了V2 P2P传输协议的设计，发现虽然旧有攻击被缓解，但协议本身的概念性缺陷（而非实现漏洞）引入了新的攻击路径。作者展示了网络级攻击者如何通过TCP载荷长度识别应用消息；如何利用加密通道的工作机制实现“日蚀攻击”（将目标节点与网络隔离）；以及如何利用协议兼容性机制将所有连接降级到未加密的V1协议。通过测量、仿真和模拟相结合的方式验证了攻击的有效性。最后提出了一系列短期和长期对策，包括修改握手流程、增加认证、限制降级等。据作者所知，这是首项针对V2 P2P传输下的比特币安全性研究。该研究成果对去中心化网络的安全性设计有重要启示。

该论文从隐私角度出发，论证内生代币（如加密资产）不具备货币属性。作者首先对公共、无需许可账本上的代币进行分类，将其与私人发行的稳定币及央行数字货币（CBDC）设计方案进行对比。随后，论文借鉴Kahn等人在《货币即隐私》中对现金与简化信用的分析框架，将其扩展到公共、无需许可账本的场景。研究发现，大多数公共账本采用基于账户的余额抽象，导致默认状态映射到《货币即隐私》中最有害的代理交互模型。核心结论有三：第一，区块链经济体系缺乏类似现金的原语；第二，稳定币本质上无法填补这一角色；第三，网络依赖内生代币提供安全性，将导致即使持有隐私保护资产也面临相同风险——因为该资产依赖与内生代币相同的全局账本状态。论文主要贡献在于澄清了代币分类与货币属性的关系，并指出了当前区块链隐私设计的根本局限。适合区块链安全研究员、隐私保护设计者及金融科技政策制定者阅读。

本文介绍了CtPhishCapture，一个专门检测针对加密货币钱包的凭证盗窃钓鱼诈骗的系统。研究背景是随着加密货币的普及，攻击者通过仿冒钱包登录页面、虚假空投或客服钓鱼等手段窃取用户助记词或私钥。核心问题在于现有反钓鱼方案难以有效识别针对加密货币生态的定制化钓鱼页面。CtPhishCapture的方法结合了视觉相似度分析（网页截图与已知合法钱包UI对比）、URL特征工程（检测域名乱真模式）以及行为分析（检测页面动态加载的凭证提交行为）。系统采用多阶段流水线：首先通过爬虫收集疑似钓鱼URL，然后利用轻量级视觉哈希与OCR提取页面文本，再通过机器学习分类器判断是否具钓鱼特征。实验基于真实钓鱼样本和合法钱包页面数据集，证明系统在低误报率下达到高检测率，尤其能发现隐藏的凭证窃取逻辑。主要贡献包括构建了首个专攻加密货币钱包钓鱼的检测框架、开源了标注数据集，并揭示了攻击者常用的CSS混淆与动态表单注入技术。适合安全研究人员、加密货币交易所防御团队以及关注Web3安全的读者。

本文研究了ASIC加密货币矿机的固件分发生态系统的安全性。矿机是区块链基础设施的核心组件，直接转换算力和能源为货币价值，但其安全性很少被系统评估。作者提出了一种可扩展的方法论，基于收集和静态分析公开分发的固件工件，无需设备访问或运行时交互。他们利用该方法重构并分析了134个固件镜像，覆盖了Bitmain、MicroBT、Canaan、Iceriver等制造商，这些制造商占已部署矿机总量的99%以上。研究发现，仅凭固件工件就足以恢复内部架构、识别安全弱点，并重构出完整的攻击链路，从而实现高影响力的对抗目标。具体而言，分析揭示了导致真实大规模攻击场景的漏洞，包括固件钓鱼和利用仍运行Stratum V1协议的矿机。在两个真实设备上的验证证实，公开分发的工件与已部署软件高度一致，且这些弱点可转化为实际攻击能力。总体而言，研究表明固件分发机制本身构成了主要攻击面，显著降低了ASIC挖矿生态系统的被攻破门槛。该工作为安全社区提供了对矿机供应链安全的新视角，并强调了保护固件分发流程的必要性。