本文是对 Across 协议代码的审计报告,重点关注了引入 LayerZero OFT 桥接机制的更改,并评估了其安全性、集成性和潜在风险。报告内容包括高、中、低风险的问题,以及关于代码质量、测试覆盖率和文档的改进建议。同时,报告也强调了协议中存在的信任假设和未来集成时需要注意的关键点。
Slang v1是一套为以太坊开发者提供的Solidity代码分析和工具的模块化编译器API。它能够支持80多种版本的Solidity,并提供高效的错误容忍解析器和符号追踪分析,旨在简化开发工具的构建。Slang的独特之处在于,它不仅是编译器,而是为开发者工具打造的API,极大提高了Soliditiy工具的开发效率。
本文介绍了如何构建和遍历Solidity调用图,用于静态分析、漏洞检测和更智能的合约开发。通过示例代码和详细的解释,展示了如何使用Router解析内部函数调用,并提出了在调用图中进行深度优先或广度优先遍历的策略,提高代码分析的准确性,并以Aderyn工具的实现为例,展示了如何应对函数调用解析中可能出现的二义性情况。
本文档介绍了OpenZeppelin Code Inspector,它是一个与Github集成的代码分析工具,通过机器学习和安全专家开发的工具自动进行代码分析,识别潜在漏洞并提出改进建议。