本文深入探讨了Solana生态系统中的供应链攻击,重点分析了攻击者如何通过恶意修改离线签名工具、NPM包等方式窃取私钥,并提出了一系列针对性的防御措施,包括锁定依赖版本、使用JFrog Xray扫描代码、加强CI/CD环境监控等,旨在帮助Solana开发者构建更安全的开发工作流。
文章分析了Solana上MEV(矿工可提取价值)的现状与挑战,尽管Solana在架构上对传统MEV攻击有抵抗性,但交易机器人、RPC提供商和验证者等参与者仍通过各种技术手段提取MEV。文章还讨论了开发者可以采取的防御措施,包括防夹三明治攻击、初始化抢跑、逃避惩罚和拒绝服务攻击等,并强调了在Solana上构建应用时进行安全防护的重要性。
本文分析了在使用Anchor框架开发Solana程序时,当交易的to token和quote token相同时,由于Anchor的序列化机制可能导致的问题。文章通过WooFi Sherlock contest中的一个例子,说明了重复账户在序列化时可能导致数据覆盖,并提供了一种解决方案,即在处理重复账户时,只更新其中一个变量。
