区块链项目代码审计必不可少,看看有哪些方式可以让我们的项目更安全。
Slither是一款以太坊智能合约静态安全检测工具
了解一个非常常见的攻击手法 —— 抢跑。
了解一个经典的智能合约漏洞 —— 签名重放。
上次我们了解了 solidity 中自带的函数——自毁函数,相信大家多少已经对它有所了解,这次我们将了解如何访问合约中的私有数据(private 数据)。
本文由开发者Alex The Entreprenerd撰写,介绍了他在EVM开发中的经历及对抗区块链安全漏洞的努力。文章详细介绍了他的项目Recon,这是一种帮助开发者编写和运行不变性测试的工具,同时描述了两个重大的安全攻击案例,强调了不变性测试在预防未来攻击中的重要性。
2023年7月30日,Curve Finance的多个流动池遭受重入攻击,揭示了Vyper编译器的严重缺陷,导致Curve池的安全性受到威胁。文章详细分析了攻击的过程和原因,以及对后续智能合约安全性的思考,指出了智能合约审核中未能匹配源代码与字节码的重要性,从而促使开发者关注安全性和审核流程的改进。
本期我们将带大家了解智能合约中一个经常被用到的东西——随机数。
该文章对Fireblocks的可升级tokens进行了审计,主要围绕ERC721F合同中的访问控制实现及其漏洞进行了讨论。审计发现了一些高、中、低严重性的安全问题,并提供了相应的修复建议和代码改进的方向,强调了合同的可升级性及其实现中的功能特点。
本文介绍了zksync SSO账户抽象的审计结果,包括安全模型、设计选择、潜在的安全问题以及高、中、低严重性的问题。文章详细列出了每个问题的描述、解决建议及其优先级,并对代码的生产就绪度进行了评估。结尾部分强调了该代码库的灵活性和健壮性,鼓励开发团队进行必要的改进与增强测试。
本文对OpenZeppelin的Uniswap Hooks库进行了审计,涵盖了各类Hook的安全性及逻辑实现,详细列出关键问题,包括安全漏洞、逻辑缺陷和潜在改进意见。审计指出必须采用必要的访问控制与文档化措施来确保合约的安全性,并提供了关于如何改进合约实施的建议。
EIP-4337提出了一种将账户抽象功能添加到以太坊主网的规范,同时调查了其参考实现的安全性。文章详细审计了智能合约的设计与实现,提出了多个安全性建议,强调用户操作的有效性和支付者的责任。尽管实现在功能上具有灵活性和创新空间,审计提出了多项高优先级和关键性的安全隐患,以及对代码质量和文档的改进建议。
本文分析了基于ERC4337的账户抽象项目在安全审计中发现的漏洞,涉及Gas费计算、签名生成与使用、重用签名及抢跑等多个方面,探讨了这些漏洞可能导致的安全隐患,并给出了开发项目时需优先考虑的安全建议。
本文讨论了Gains Network的一个分叉存在的两个严重漏洞,这些漏洞可能导致用户从流动性池中丢失资金。文章详细介绍了Gains的工作原理,以及如何利用这些漏洞进行高达900%的交易利润,最后提及了相关的补救措施和修复方案。
本文介绍了Veridise与RISC Zero在zkVM安全方面的合作,强调通过自动化零知识验证工具Picus实现持续的安全验证,确保RISC Zero开发的zkVM具备正式的安全保证。文中详细描述了三种关键漏洞及其修复方法,展现了如何通过深度合作提高零知识系统的安全标准。
翻译小组
六天
慢雾科技
Recon
chainlight
OpenZeppelin
defihacklabs
zellic
Veridise