安全

重入攻击终极指南

视频的核心内容是关于在智能合约审计过程中可能会错过漏洞的28种方式，并提供了相应的反向策略，以帮助审计人员更有效地发现漏洞。视频的讲解者Owen分享了他在审计领域的经验，强调了审计过程中需要保持攻击者的思维方式，以便更好地识别潜在的安全问题。 关键论据和信息包括： 1. **外部调用的风险**：强调每个外部调用都可能引发重入攻击，审计人员需要全面检查所有相关函数，而不仅仅是外部或公共函数。 2. **协作的重要性**：单独审计可能会错过许多问题，团队合作可以提高审计质量，分享不同的视角和想法。 3. **开发者的信任**：审计人员不应盲目相信开发者的代码是正确的，而应保持怀疑态度，主动寻找潜在的漏洞。 4. **文档和注释的价值**：阅读代码中的注释和文档可以加速理解过程，帮助审计人员更快地掌握代码逻辑。 5. **测试的重要性**：编写测试用例可以发现开发者未考虑到的边缘情况，从而揭示潜在的漏洞。 6. **整体视角**：审计时应考虑合约之间的相互作用，而不是孤立地分析每个合约。 7. **关注特殊情况**：如ERC20代币的特殊情况（如燃烧转账代币）和前置/后置攻击等，都是审计中需要特别注意的漏洞类型。 8. **保持良好的生活习惯**：良好的睡眠和饮食习惯对审计人员的思维清晰度至关重要，直接影响审计的质量。 通过这些论据，Owen提供了一系列实用的建议，帮助审计人员提高发现漏洞的能力，确保智能合约的安全性。

四种外部调用攻击 | Web3 安全 101

视频的核心内容是关于在智能合约审计中可能遗漏漏洞的28种方式，并提供了相应的反向策略，以帮助审计人员更有效地发现漏洞。视频的讲解者Owen是Guardian Audits的创始人，拥有丰富的智能合约审计经验，旨在分享他在审计过程中积累的知识和经验。 关键论据和信息包括： 1. **外部调用的风险**：强调每个外部调用都可能引发重入攻击，审计人员应全面检查所有相关函数，而不仅仅是外部或公共函数。 2. **协作的重要性**：单独审计可能导致遗漏，团队合作可以提高审计质量，分享不同的视角和想法。 3. **开发者的信任问题**：审计人员应保持怀疑态度，假设代码中存在问题，而不是盲目相信开发者的实现。 4. **文档和注释的价值**：阅读代码中的注释和文档可以加速理解过程，帮助审计人员更快地掌握上下文。 5. **测试的重要性**：编写测试用例可以发现开发者未考虑到的边缘情况，从而揭示潜在漏洞。 6. **持续思考**：在审计过程中，审计人员应在离开代码时继续思考可能的攻击向量，以便在日常生活中也能激发灵感。 7. **关注合约间的交互**：审计时应考虑合约之间的相互作用，而不是孤立地分析每个合约。 8. **高层次的激励和代币经济学**：审计人员应关注可能导致治理攻击或其他风险的高层次激励机制。 9. **社区和学习**：参与Web3安全社区和实践审计可以提升审计人员的能力，避免孤立。 10. **保持健康的生活方式**：良好的睡眠和饮食习惯对审计人员的思维清晰度至关重要。 通过这些论据，Owen提供了一系列实用的建议，帮助审计人员在智能合约审计中更全面地发现和理解潜在的安全漏洞。

成为一名优秀安全研究员的四个步骤

视频的核心内容是介绍成为顶级安全研究员的四个简单但不易执行的步骤。讲者Owen分享了他在安全审计领域的经验，并强调了坚持和投入时间的重要性。 关键论据和信息包括： 1. **写大量的Solidity代码**：通过自己编写智能合约，建立对合约设计的直觉和理解，从而更好地识别潜在的设计缺陷和漏洞。 2. **阅读和理解代码库**：快速深入地理解不同代码库的结构和功能，掌握用户交互流程，以便在审计中发现细微的漏洞。 3. **学习特定的漏洞类别**：掌握各种常见的安全漏洞和攻击方式，建立一个“工具箱”，以便在审计时能够灵活运用这些知识。 4. **积极参与审计**：通过实际审计经验来提升技能，尽早参与审计项目，逐步积累经验和信心。 Owen强调，成功的关键在于持续的努力和时间投入，初期可能会感到困难，但随着经验的积累，审计工作会变得越来越容易。

DeFi 讲座 13：DeFi 安全性

本次讲座深入探讨了去中心化金融（DeFi）的安全性，强调了安全在金融生态系统中的重要性。内容涵盖了DeFi的多个层面，包括硬件层、网络层、区块链层、智能合约层及应用层，分析了各层可能面临的攻击及其后果。特别提到的攻击方式包括重入攻击、回放攻击、三明治攻击和矿工可提取价值（MEV）等，强调了这些攻击对用户和整个DeFi生态系统的潜在威胁。此外，讲座还探讨了如何通过设计更安全的智能合约、使用去中心化的预言机和优化交易路由等方式来减轻MEV的影响，以提高DeFi的安全性和可持续性。

DeFi 讲座 12：实用智能合约安全

本讲座由Sam主讲，重点讨论智能合约安全的学习方法和实践。Sam强调，与专家交流是学习智能合约安全的最佳方式，并通过六个案例研究展示了智能合约中的安全漏洞及其影响。案例包括ERC-721和ERC-1155标准的演变，展示了安全转移函数如何引入新的安全风险，以及如何通过不当的外部调用导致漏洞。此外，讲座还探讨了跨链协议的复杂性和安全性问题，特别是在比特币和以太坊之间的交互中。最后，Sam分享了在发现漏洞后如何有效协调救助资金的经验，包括身份验证和法律责任等重要考虑。整体而言，讲座强调了在DeFi安全中，发现漏洞只是第一步，后续的协调和处理同样重要。

常见安全问题及防范

常见安全问题及防范

7. 技术挑战

本次讲座由加里·根斯勒教授主讲，讨论了区块链技术面临的挑战，包括性能、可扩展性、隐私和安全性等问题。根斯勒教授强调，区块链的去中心化特性虽然带来了信任和透明度，但也伴随着治理和集体行动的困难。他提到，区块链的经济学和技术特性之间存在权衡，例如比特币和以太坊在交易速度和安全性上的不同。教授还提到，隐私币（如Zcash）在保护用户隐私的同时，也引发了监管机构的担忧。此外，根斯勒教授指出，区块链与传统金融系统的互操作性是一个重要问题，未来可能通过侧链和第二层解决方案来改善。最后，他认为，尽管区块链技术的某些挑战是可解决的，但治理和集体行动的问题仍然是最大的障碍。

【第81期】Solana 交易分析与钓鱼欺诈

讲师： 吴志颖：GoPlus研究员，中山大学博士研究生 杨晶晶：GoPlus研究员，中山大学硕士研究生 大纲： 关于Solana交易分析和钓鱼欺诈的全面介绍，包括Solana RPC交易数据接口、交易指令解析、SPL Token、模拟交易及其安全性探讨、钓鱼欺诈的多种手法及其应对策略。 >直播时间：2024-07-17