智能合约

什么是EigenLayer？EigenLayer和重质押的终极指南

视频的核心内容是Eigenlayer的介绍及其在以太坊生态系统中的作用。Eigenlayer声称能够为以太坊提供共享安全性，允许现有的以太坊验证者在不停止验证以太坊的情况下，参与其他服务的验证，从而实现资源的高效利用和奖励的增加。 关键论据和信息包括： 1. **以太坊的转变**：以太坊在2022年进行了“合并”，从工作量证明转向权益证明，旨在减少环境影响并提高ETH的长期价值。 2. **权益证明机制**：在权益证明中，参与者通过质押ETH来获得奖励，表现良好者会获得更多ETH，而表现不佳者则会面临惩罚（即“削减”）。 3. **流动质押**：由于质押32 ETH的门槛较高，许多用户通过流动质押协议（如Lido）参与质押，允许用户以较小的金额参与并获得奖励。 4. **Eigenlayer的功能**：Eigenlayer允许以太坊的验证者在继续验证以太坊的同时，选择参与其他服务的验证，称为“重质押”。这为开发者提供了安全和去中心化的基础，同时也为验证者提供了额外的奖励。 5. **三方关系**：Eigenlayer涉及三方：开发者（希望构建安全的服务）、验证者（希望获得更多奖励）和质押者（希望通过质押获得收益）。各方之间存在信任关系，质押者信任验证者，验证者信任开发者。 6. **风险管理**：视频提到了一些风险，包括质押者对验证者的信任、验证者对开发者代码的依赖，以及一个“否决委员会”用于处理错误削减的机制，以保护各方利益。 总之，Eigenlayer通过允许以太坊验证者重质押，提供了一种新的方式来增强以太坊的安全性和可扩展性，同时为参与者创造更多的经济激励。

深入探讨以太坊7702智能账户：安全风险、误操作和测试

视频的核心内容是关于即将到来的以太坊EIP 7702提案的深入解析。该提案旨在允许外部拥有账户（EOA）也能拥有代码，从而模糊了EOA与智能合约之间的界限。视频通过代码示例和理论讲解，探讨了EIP 7702的潜在好处、风险和安全威胁。 关键论据和信息包括： 1. **EIP 7702的基本概念**：该提案允许EOA拥有代码，改变了传统上只有智能合约才能执行代码的局面。 2. **新功能**：EIP 7702引入了批量操作、交易赞助、不同签名机制和角色管理等功能，提升了用户的灵活性和安全性。 3. **安全风险**：视频强调了在实现EIP 7702时可能出现的安全漏洞，包括代码重用、初始化保护不足和存储布局冲突等问题。 4. **代码示例**：通过多个版本的示例合约，展示了如何实现EIP 7702及其潜在的安全隐患，特别是在合约升级和签名管理方面。 5. **开发工具**：介绍了如何使用Forge和Foundry等工具进行开发和测试，鼓励开发者在测试网中尝试EIP 7702的实现。 总之，视频旨在提高对EIP 7702的认识，强调其带来的新机遇和挑战，并鼓励开发者积极参与到这一新特性的开发和测试中。

Vitalik 最新分享: 加密货币与 AI 的交集

在这次演讲中，Vitalik对他一年前关于加密货币与人工智能交集的博客文章进行了回顾。他指出，自那时以来，AI的强大使得这两个领域的交集变得更加显著。他总结了四个主要的交集类别：AI作为游戏参与者、AI作为游戏接口、AI作为游戏规则，以及AI作为游戏目标。 1. **核心内容**： - Vitalik探讨了加密货币与人工智能的交集，强调了AI在加密生态系统中的多种应用，尤其是在去中心化自治组织（DAO）中的潜力。他提出，AI可以在决策过程中提供更高质量的选择，并且可以通过优化人类提供的信号来提升决策质量。 2. **关键论据**： - **AI作为参与者**：AI在去中心化交易所的套利和市场做市中已经存在近十年，未来可以参与更多的链上和链下游戏。 - **AI作为接口**：AI可以帮助用户更好地与区块链互动，发现和评估智能合约的安全性。 - **AI作为规则**：AI可以优化决策过程，但需要防范模型的可利用性和安全性问题。 - **AI作为目标**：利用加密技术进行分布式AI训练，尽管目前进展有限，但仍有潜力。 Vitalik还提到，AI和人类的协作可以通过“AI作为引擎，人类作为方向盘”的模式来实现，强调了在治理和公共资金支持方面的创新机会。他认为，未来的重点应放在AI作为参与者和接口的交集上，以推动更高效的治理机制。

EVM：从Solidity到字节码、内存和存储

在本次以太坊工程小组的会议中，David和Peter讨论了以太坊虚拟机（EVM）及其与Solidity编程语言的关系，重点介绍了EVM的工作原理、代码执行、存储、堆栈和内存等方面。 **核心内容概括：** 1. **EVM与Solidity的关系**：Solidity是用于编写以太坊智能合约的主要语言，EVM则是执行这些合约的环境。Solidity代码经过编译后生成字节码和ABI（应用程序二进制接口），后者定义了合约的功能和参数。 2. **以太坊交易结构**：交易包含nonce、gas价格、gas限制、接收地址、转账金额和数据字段。合约部署时，接收地址为空，数据字段包含初始化代码。 **关键论据与信息：** 1. **EVM的存储结构**：EVM是基于堆栈的处理器，使用堆栈、内存、存储和代码等多种数据存储方式。堆栈用于临时存储，内存用于事务期间的临时数据存储，存储则是持久化的数据存储。 2. **合约部署与函数调用**：合约的初始化代码在部署时执行，设置合约的初始状态。函数调用通过ABI进行，EVM根据函数选择器和参数执行相应的操作。 3. **存储优化**：合理布局存储变量可以减少gas费用，尤其是在多个变量共享同一存储位置时。对于动态数组和映射，EVM使用KCAK256哈希来确定存储位置。 4. **错误处理与日志**：EVM支持多种错误处理机制，包括revert、assert和require等。日志是EVM的写入输出区域，用于记录事件。 会议还提到了一些未来的讨论主题，包括代码的梅克尔化、跨合约调用的效率、异常处理等。与会者被鼓励提出更多的讨论话题，以便在未来的会议中深入探讨。

第一部分：EIP 7702 的高层概述

视频的核心内容是介绍EIP-7702，这是即将与Spectra一起发布的以太坊改进提案，旨在实现账户抽象。视频详细解释了EIP-7702的功能及其与之前的EIP-4337的区别，强调了EIP-7702如何在不需要迁移现有钱包的情况下，为外部拥有账户（EOA）提供智能合约的功能。 关键论据和信息包括： 1. **账户抽象的背景**：EIP-4337虽然引入了账户抽象，但并未对EVM进行实际更改，且需要用户迁移到智能合约钱包，导致采用率不高。 2. **EIP-7702的优势**：EIP-7702允许EOA通过简单的签名升级，直接在现有账户上实现智能合约功能，如Gas赞助和交易批处理，而无需迁移。 3. **新交易类型**：EIP-7702引入了一种新交易类型，允许EOA设置代码哈希为非空值，从而实现智能账户的功能。 4. **授权列表**：升级EOA的过程涉及一个授权列表，包含多个授权信息，确保每个授权的有效性。 5. **代码结构**：EOA的代码哈希将指向智能合约钱包的地址，而不是直接存储智能合约的字节码，从而保持EOA的状态不变。 视频最后提到，理解EIP-7702的具体实现需要深入代码分析。

以太坊上的智能合约是如何工作的

在这段视频中，开发者倡导者Radek介绍了智能合约的基本概念、工作原理，以及如何在以太坊上编写、部署和与智能合约互动。 **核心内容概括：** 智能合约是一种自执行的合约，其条款以代码形式直接写入区块链。与传统合约不同，智能合约不需要信任对方，因为一旦满足约定条件，合约会自动执行。以太坊是智能合约的关键平台，因其图灵完备性和以太坊虚拟机（EVM）支持复杂合约的创建和执行。 **关键论据和信息：** 1. **智能合约的定义**：智能合约是自执行的，类似于自动售货机，消除了对中介的需求。 2. **信任问题**：智能合约通过代码自动执行，消除了对交易对方的信任需求。 3. **以太坊的重要性**：以太坊专为智能合约设计，支持复杂的合约逻辑。 4. **编写和部署**：智能合约通常使用Solidity语言编写，并通过Ethereum Remix IDE进行部署。 5. **测试网络**：视频中展示了如何在Sepolia测试网络上部署合约，并获取测试ETH以支付交易费用。 6. **合约交互**：展示了如何读取和写入合约数据，包括如何增量计数器并确认交易。 通过这个视频，观众能够理解智能合约的基本概念，并掌握在以太坊上创建和操作智能合约的基本步骤。

UTXO与账户模型

视频主要探讨了两种加密货币账本格式：UTXO（未花费交易输出）模型和账户模型，分别代表比特币和以太坊。视频比较了这两种模型的优缺点，帮助观众理解为何不同的加密货币选择不同的账本格式。 **核心内容概括：** 1. **UTXO模型**：每笔交易需要引用未花费的交易输出，类似于现金交易，无法部分使用。此模型在处理状态时具有确定性，允许并行处理交易，潜在地提高可扩展性和安全性。 2. **账户模型**：每个地址有余额，交易时只需指定发送金额，类似于银行账户。此模型更简单，适合智能合约的开发，但在处理状态时需要顺序执行交易，无法并行处理。 **关键论据和信息：** - UTXO模型的交易过程涉及输入和输出，交易的确定性使得多个交易可以并行处理。 - 账户模型的交易过程涉及更新余额，需确保交易顺序，导致无法并行处理。 - 智能合约在账户模型中更易于实现，因为状态可以直接更新，而在UTXO模型中则需重新发布脚本，增加了复杂性。 - 尽管UTXO模型在可扩展性和安全性上有优势，但账户模型因其简便性和轻量性而更受欢迎，尤其是在智能合约应用中。 总结而言，两种模型各有优劣，选择使用哪种模型取决于具体的应用需求。

ZKP MOOC 第 13 课：隐私保护智能合约架构

在这段视频中，Zac Williamson，Aztec公司的首席执行官，讲解了隐私保护智能合约架构的构建方法。视频的核心内容是如何在公共分布式账本上实现隐私保护的交易，特别是通过使用零知识证明（ZK proofs）来确保交易的隐私性和可验证性。 **主要观点和关键论据：** 1. **隐私保护智能合约的构建**：Zac强调，构建隐私保护的智能合约需要将私有状态作为第一类原语，利用加密形式在区块链上表示状态，并通过零知识证明验证状态转移。 2. **历史背景**：他提到，隐私保护交易的研究已有数十年历史，Zerocoin和Zcash是这一领域的先驱，ZEXE论文首次描述了私有计算的证明。 3. **私有状态机的定义**：Zac指出，单纯加密公共账本并不足以实现隐私，必须确保修改和删除加密状态的行为不会泄露信息。 4. **混合状态模型**：为了实现有效的隐私保护，Zac提出需要同时使用UTXO（未花费交易输出）和账户模型的公共状态，称之为混合应用。 5. **智能合约的执行**：视频中详细描述了如何通过私有和公共函数的组合来执行智能合约，私有函数的执行由用户生成证明，而公共函数的执行则由第三方（如序列器）处理。 6. **递归证明和效率**：Zac强调了递归证明在处理多个函数调用时的重要性，以提高效率并减少计算资源的需求。 7. **虚拟机的使用**：他介绍了虚拟机的概念，指出在公共函数的执行中，虚拟机能够处理条件跳转和错误处理，从而确保交易的有效性。 8. **最终的汇总电路**：最后，Zac提到，汇总电路的设计旨在减少验证成本，使得整个系统在处理大量交易时仍能保持高效。 通过这些论述，Zac展示了如何在区块链上构建一个既能保护隐私又能支持复杂交易的智能合约架构，强调了数学和计算机科学在实现这一目标中的关键作用。

构建您的审计工具包

视频的核心内容是通过分析审计报告来提升审计技能，特别是理解审计师的思维方式和发现漏洞的过程。讲者Owen分享了他在Guardian Audits的经验，介绍了三项具体的审计发现，并提供了相应的启发式方法，以帮助观众在自己的审计工作中识别类似的漏洞。 关键论据和信息包括： 1. **审计师的思维方式**：理解审计师如何发现漏洞是提升审计能力的关键。审计报告通常缺乏对发现过程的详细说明，因此Owen希望通过分享自己的经验来填补这一空白。 2. **具体审计发现**： - **Bridges Exchange的漏洞**：通过转移锁定的代币，攻击者可以缩短锁定期。Owen强调在赋值状态变量时要考虑所有可能的边界情况。 - **Reliquary的截断避免问题**：代码中的分支逻辑可能导致精度损失，Owen建议使用极端值来测试逻辑的正确性。 - **gmxv2的全局漏洞**：由于try-catch块未能捕获所有类型的revert，攻击者可以利用这一点进行无风险交易。Owen强调编写测试用例的重要性，以便及早发现潜在问题。 3. **启发式方法**：Owen提供了一些实用的启发式方法，帮助审计人员在审计过程中识别和分析漏洞，包括关注状态变量的变化、测试极端值以及编写测试用例等。 最后，Owen鼓励观众参与审计社区，分享发现并提升自己的审计技能，同时介绍了他所提供的智能合约审计课程。

AMM的终极指南

视频的核心内容是关于自动化市场制造商（AMM），特别是常数乘积AMM的工作原理及其在去中心化金融（DeFi）中的重要性。讲解者Owen分享了他在智能合约审计方面的经验，并希望通过这个视频帮助观众更好地理解AMM。 关键论据和信息包括： 1. **AMM的定义与功能**：AMM允许全球用户进行无权限的24/7链上交易，是DeFi的基础。常数乘积AMM是最常见的类型，其核心公式为X * Y = K，其中X和Y分别代表两种代币的数量，K是流动性池的流动性度量。 2. **交易过程的示例**：通过具体的例子，讲解了如何在AMM中进行代币交换，如何计算交易后的代币数量，以及如何通过公式保持K值不变。 3. **流动性提供者的视角**：流动性提供者在提供流动性时，K值会增加，从而减少交易者的价格影响，提供更好的交易执行价格。 4. **流动性提供的风险**：流动性提供者面临的风险包括无常损失（impermanent loss），即当流动性池中两种代币的供应量发生变化时，流动性提供者可能会遭受相对损失。 5. **无常损失的计算**：通过具体的数字示例，讲解了如何计算无常损失，并说明了流动性提供者在市场波动中可能面临的损失。 6. **学习与实践的机会**：Owen鼓励观众通过实践审计和参加相关课程来提升自己的智能合约审计技能，并提供了相关资源和链接。 总之，视频深入探讨了常数乘积AMM的机制及其在DeFi中的重要性，同时也强调了流动性提供者的角色和面临的风险。

审计智能合约时错过漏洞的28种方式

视频的核心内容是关于在智能合约审计中可能错过漏洞的28种方式，并提供了相应的反向策略，以帮助审计人员更有效地发现漏洞。视频的讲解者Owen分享了他在审计过程中积累的经验，旨在帮助观众提高审计技能。 关键论据和信息包括： 1. **外部调用的风险**：强调每个外部调用都可能引发重入攻击，审计人员需要全面检查所有相关函数，而不仅仅是外部或公共函数。 2. **协作的重要性**：单独审计可能导致遗漏，通过团队合作可以更快地理解代码并产生更多的攻击思路。 3. **开发者的信任**：审计人员不应盲目相信开发者的代码是正确的，而应保持怀疑态度，主动寻找潜在问题。 4. **文档和注释的价值**：阅读代码中的注释和文档可以帮助快速理解代码逻辑，避免不必要的时间浪费。 5. **测试的重要性**：编写测试用例可以发现开发者未考虑的边缘情况，从而揭示潜在漏洞。 6. **整体视角**：审计时应考虑合约之间的交互，而不是孤立地分析每个合约，以发现更复杂的漏洞。 7. **高层激励和代币经济学**：审计人员应关注可能导致攻击的激励机制，而不仅仅是代码层面的漏洞。 8. **社区和学习**：参与Web3安全社区和实践审计可以提升审计技能，避免孤立无援的状态。 通过这些论据，Owen提供了一个全面的视角，帮助审计人员在智能合约审计中更有效地发现和解决漏洞。

进入攻击者的思维模式

视频的核心内容是如何培养攻击者的思维方式，以便更有效地发现代码中的漏洞和缺陷。讲者Owen分享了四个关键步骤，帮助审计人员转变思维，采用攻击者的视角进行审计，并指出了两种常见的错误思维方式，这些错误会阻碍审计人员进入攻击者的思维模式。 **主要观点和关键论据：** 1. **攻击者思维的定义**：攻击者思维是一种主动寻找代码漏洞的方式，与开发者的防御性思维相对立。通过尝试“破坏”代码而不是“保护”代码，审计人员更有可能发现潜在的安全问题。 2. **四个关键步骤**： - **激励机制**：确保审计人员的报酬与发现的漏洞数量和严重性挂钩，以激励他们积极寻找漏洞。 - **相信漏洞的存在**：审计人员必须坚信代码中存在漏洞，才能有效地进行审计。 - **收集“旋钮”**：在审计过程中，记录下所有有趣的行为和异常，以便后续组合利用。 - **组合“旋钮”**：将收集到的不同“旋钮”结合起来，形成复杂的攻击向量。 3. **两种常见错误**： - **错误的激励结构**：如果审计人员在审计开始前就收取全部费用，他们可能会倾向于尽快完成审计，而不是深入挖掘漏洞。 - **不相信漏洞的存在**：如果审计人员开始相信开发者的代码是安全的，他们就会失去攻击者的思维方式，转而验证代码的安全性。 4. **实际案例分析**：Owen通过GMX v2代码库的审计实例，展示了如何利用攻击者思维发现漏洞。他详细讲解了如何通过延迟执行和利用特定的代码逻辑，构建出一个风险交易的攻击向量。 总之，视频强调了攻击者思维在智能合约审计中的重要性，并提供了实用的策略和思维框架，帮助审计人员更有效地发现和利用漏洞。

撰写概念验证（PoC）的指南

视频的核心内容是关于如何编写POC（概念验证）以验证发现的漏洞或错误。讲述者Owen分享了他在编写POC过程中的个人经验，并通过一个实际的代码示例来演示这一过程。 关键论据和信息包括： 1. **POC的重要性**：在发现潜在漏洞后，编写POC是验证问题的关键步骤，能够展示漏洞的严重性和影响。 2. **Owen的背景**：他是Guardian Audits的创始人，拥有丰富的智能合约审计经验，发现了许多关键漏洞，并编写了相应的POC。 3. **实际示例**：Owen通过GMX v2代码库中的一个具体案例，分析了在减少头寸时可能出现的会计问题，特别是在利润头寸被清算时的处理逻辑。 4. **会计错误的识别**：他指出了在进行代币交换时，未能正确更新池中的代币数量，导致市场代币余额验证失败，从而引发清算失败的情况。 5. **POC的编写过程**：Owen详细描述了如何构建POC，包括设置交易、构建费用、执行清算等步骤，并通过调试和日志记录来验证假设。 总之，视频不仅提供了POC编写的实用技巧，还强调了在智能合约审计中识别和验证漏洞的重要性。

21个狡猾的智能合约漏洞 | 不要错过这些！

视频的核心内容是介绍21种常见的智能合约漏洞，这些漏洞在智能合约开发和审计中经常出现。视频的讲解者Owen是Guardian Audits的创始人，他通过自己的审计经验，帮助观众了解这些漏洞，以便在开发和审计智能合约时能够主动避免。 视频中提出的关键论据和信息包括： 1. **漏洞的普遍性**：智能合约系统中几乎存在无限的潜在漏洞，开发者需要付出额外的努力来确保合约的安全性。 2. **具体漏洞示例**：Owen详细列举了21种漏洞，包括： - 删除结构体时未递归删除内部映射或列表的值。 - 合约升级时不可变变量未能转移到新合约。 - 逻辑错误导致的减法下溢和拒绝服务攻击。 - 使用transfer或send函数可能导致与某些多重签名钱包不兼容。 - 在循环中使用message.value可能导致重复计算。 3. **设计和编码注意事项**：强调在设计合约时要避免并行数据结构、注意单位处理、确保合约能够接收以太币等基本原则。 4. **安全审计的重要性**：Owen鼓励开发者在发布合约之前进行安全审计，并提供了Guardian Audits的服务信息。 通过这些内容，视频旨在提升观众在区块链工程和安全审计方面的能力，帮助他们避免常见的错误和漏洞。

6个关键漏洞 | 建立你的工具箱

视频的核心内容是关于智能合约安全研究的工具箱，特别是如何识别和利用智能合约中的漏洞。讲者Owen分享了他在Guardian Audits的经验，强调了拥有一套有效的发现工具对于审计工作的重要性。 关键论据和信息包括： 1. **工具箱的重要性**：拥有一系列的发现工具和技巧可以帮助安全研究人员识别新型漏洞，提升审计能力。 2. **常见漏洞示例**： - **奖励复合攻击**：恶意用户可以通过在奖励复合函数执行前后进行交易，获取其他用户的奖励。 - **拒绝服务（DOS）攻击**：通过无限循环的用户数组，导致分配股息的函数无法执行，从而造成拒绝服务。 - **不当批准漏洞**：用户可以利用不当的保证金交换功能，提取其投资组合中的资金，导致协议失去抵押品。 - **黑名单地址问题**：黑名单地址无法接收转账，可能导致清算失败，从而使得协议面临风险。 Owen还强调了在审计过程中，理解这些漏洞的具体场景和应用是至关重要的。他希望通过分享这些经验，帮助其他开发者和安全研究人员更快地提升技能，避免常见的错误和漏洞。最后，他提到了一些资源和社区，供有兴趣的人进一步学习和交流。