登录 后可观看高清视频

高级 Web3 安全课程 | 第八部分

37次播放
1天前

视频 AI 总结: 该视频是关于智能合约审计培训的 mob auditing 会议,重点在于使用 mob auditing 的方法来查找智能合约中的漏洞。视频中,讲师带领学员们对一个 Perpetual Protocol 的智能合约实现进行审计,并逐步讲解了 mob auditing 的流程和技巧,最终学员们成功发现了一些关键漏洞。

关键信息:

  1. Mob Auditing 介绍: 类似于 pair programming,但规模更大,有多人参与,角色包括驱动者(driver)和指导者(dictator),其他人作为 mob 提供想法。
  2. Mob Auditing 流程: 驱动者分享屏幕并逐行解释代码,指导者提出问题和 edge cases,mob 成员随时提出潜在的 bug 或漏洞,角色定期轮换。
  3. 审计目标: 理解如何开仓、追踪盈亏、平仓实现利润、实现损失、存入和执行流动性。
  4. 发现的漏洞:
    • increasePosition 函数中缺少对最大杠杆的验证,可能导致用户开设过高杠杆的仓位。
    • USDC 黑名单问题,可能导致用户无法提取资金。
    • 清算费用计算中的舍入误差,可能导致小额仓位无法收取清算费用。
  5. Fuzzing 和 Invariant Testing: 介绍了 fuzzing 和 invariant testing 的概念,以及如何在 Foundry 中使用它们来发现智能合约中的漏洞。
  6. Echidna 介绍: 介绍了 Echidna 这一更高级的模糊测试工具,它能够进行更复杂的 invariant testing,并提供代码覆盖率报告和可重现的测试用例。