安全漏洞

本文揭示了在Solidity编译器版本0.8.3及以下中存在的内存隔离漏洞，该漏洞影响了ABI反序列化过程，可能导致恶意字节缓冲区的攻击。作者详细解释了ABI规范、序列化和编码格式，以及引入的具体漏洞和影响，并指出该漏洞已在0.8.4版本中修复。

本文批判了几种常见的密码学误用，即所谓的“YOLO”构造，包括 YoloMultiHash、YoloMAC 和 YoloPBKDF。

本文讨论了2019年在Solidity编译器中发现的一个内存管理漏洞，导致动态数组的长度计算溢出，并可能导致内存损坏。文章深入分析了该漏洞的原理、示例代码及其潜在影响，还探讨了如何避免及检测此类漏洞的方法。最后，作者提到应用形式化方法来提高编译器的正确性和区块链智能合约的安全性。

本文介绍了TON区块链的关键特性，如账户状态与存储费用、异步性以及Cells数据结构。同时文章还对比了TON与EVM在安全性方面的差异，如重入漏洞、溢出/下溢以及除零错误的处理。此外，文章还探讨了TON生态系统中常见的安全漏洞，比如：无限制存储，数据格式不一致，地址认证，和不当处理回弹消息（bounced message）。

文章探讨了NFT市场的漏洞和安全问题，包括智能合约漏洞、市场安全风险、网络安全问题、认证过程和法律问题等。同时，文章还提供了保护NFT的措施，如进行智能合约审计、拥抱去中心化原则、加强钱包安全性、验证NFT的真实性，并提出在2023年创建一个具有完整安全措施的NFT市场的建议。

本文探讨了以太坊开发者在Solana上开发时可能犯的常见错误，由于Solana和以太坊的安全模型差异很大，例如：账户验证不足、签名者账户转发等，这些错误可能导致严重的安全漏洞，并提供了防范这些风险的建议，强调了在Solana上进行安全开发需要对账户的所有权、类型检查、关系验证和签名者处理进行严格执行。

本文深入分析了GameFi领域面临的安全挑战，包括智能合约漏洞、token和NFT的风险以及跨链桥的漏洞，还讨论了链下安全问题，如基础设施漏洞和钓鱼攻击。文章提供了开发者和玩家可采取的缓解策略，并展望了GameFi安全性的未来，强调了AI驱动的安全、改进的代币经济模型和监管的重要性。

本文解释了Solodit Checklist中的关于“Rug Pull”的风险，即管理员权限过大导致恶意提取用户资金的安全问题。文章通过Zunami Protocol事件，强调了限制管理员权限的重要性，并提供了诸如费用分离、时间锁等安全设计模式，以降低合约风险，保障用户资产安全。

本文档介绍了 OpenZeppelin Defender 的 Audit 模块，该模块旨在帮助团队进行智能合约安全审计，保持可搜索的审计和问题存储库，简化审计员与开发人员之间的交互，自动化修复审查过程，并跟踪问题的完整生命周期。主要功能包括审计报告同步、问题跟踪、状态管理以及修复验证。

本文详细介绍了在Solidity智能合约中常见的安全漏洞，包括重入攻击、计算错误、预言机失败/操控、弱访问控制和前置运行攻击。同时提供了一些解决方案和预防措施，帮助开发者提升智能合约的安全性。

这篇文章讨论了如何发现和修复区块链项目中的安全漏洞，特别是Premia Finance的一个例子。文章深入探讨了寻找目标、研究方法、发现和修复漏洞的过程，强调了了解项目机制的重要性和不同协议的风险评估。

本文主要介绍了以太坊智能合约中一种隐蔽的攻击方式：捐赠攻击（Donation Attacks）。攻击者通过直接向合约地址发送以太币，绕过合约预期的入口点，导致合约内部状态变量与实际余额不一致，从而引发会计错误、拒绝服务等问题。文章分析了攻击原理、展示了易受攻击的合约代码，并提供了安全的合约实现方案，强调应明确追踪以太币流入、拒绝意外存款，以及使用熔断器等机制。

文章介绍了智能合约审计的概念、类型、流程及其重要性，并提供了选择审计公司的建议和注意事项。

本文深入探讨了Web3中跨链桥面临的安全挑战，剖析了Poly Network、Ronin Network、Harmony Bridge、BNB Bridge、Wormhole、Nomad Bridge和Qubit Finance等多个桥被攻击的案例。通过分析这些案例，揭示了不安全外部调用、私钥泄露、加密攻击和零值利用等常见漏洞，强调了审计和漏洞赏金计划在预防攻击中的重要性。

该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告，审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。