智能合约审计

微信扫码分享
区块链全栈安全 - 架构审计

区块链全栈安全 - 架构审计

视频 AI 总结: Veridise 不仅提供智能合约审计,还覆盖区块链全栈安全,包括零知识协议、基础设施层(执行层和共识层)。他们通过架构审查帮助大型多语言项目分解系统、识别威胁并优先处理关键部分,节省时间和成本。此外,他们强调审计前需充分测试(尤其针对负面场景)和完善文档(高复杂度代码和整体架构),以避免审计中出现大量高危漏洞。 关键信息: 1. Veridise 服务范围:智能合约审计、ZK 协议审查、区块链基础设施(执行层和共识层)安全。 2. 架构审查:针对大型项目,将系统分解为可控部分,进行威胁建模,制定优先级行动计划。 3. 审计前准备:测试要覆盖异常和对抗性场景;文档需说明复杂代码逻辑和系统整体架构、用户预期、关键保证。 4. 避免最后时刻修改代码,否则易引入漏洞,需预留冻结代码后的测试时间。

86 0 0 2026-05-26 09:45
DeFi 安全 101 - 智能合约审计 2025

DeFi 安全 101 - 智能合约审计 2025

视频 AI 总结: 该视频是 DeFi 安全峰会的一部分,旨在为智能合约审计提供实用技巧。演讲者分享了超过 100 条关于学习、审计方法、个人策略以及在公司或团队中作为安全研究员的建议。核心强调了持续学习、专注、沟通、挑战既定观念以及道德的重要性。视频旨在帮助新手和有经验的安全研究员提升技能,并强调了安全审计在 DeFi 领域的重要性。 关键信息: * **学习方面:** 强调深入学习特定领域,阅读代码而非仅教程,战略性地选择项目,专注,以及不要过度依赖 AI。 * **审计方面:** 强调在理解和破坏之间切换思维,提出“如果...会怎样”的问题,优先考虑重要性而非完整性,制定审查计划,以及构建轻量级的威胁模型。 * **个人策略:** 建议从自身角度出发思考可能犯的错误,使用视觉辅助工具,从核心组件或隔离组件入手,关注资金流和用户流程,以及先处理表面问题。 * **职业发展:** 强调软技能、沟通、写作能力,适应客户需求,团队合作,以及关注学习机会而非仅薪资。 * **个人特质:** 建议限制社交媒体使用,培养成长型思维,对安全研究充满热情,持续学习,关注心理健康,以及思考道德伦理。 * **其他建议:** 优先考虑最大影响或最大收益的代码,简化代码逻辑,寻找人迹罕至的路径,寻求真相,先理解系统再破坏它,以及尊重开发者。 * **测试与 AI:** 强调测试的重要性,将 AI 作为头脑风暴工具,以及逐步升级测试方法。 * **实用技巧:** 形式化验证无状态库,面对挑战时不断提升自己,重写代码进行比较,以及享受并准备好迎接巅峰体验。 * **报告与沟通:** 缓慢而清晰地撰写报告,认真对待每一个漏洞,从终点出发,以及与优秀的人一起工作。 * **审计基础:** 审计是阅读代码,围绕资产、行动者和行动展开,挑战一切,以及区分异常、问题和漏洞。 * **协作审计:** 强调沟通、信任、严谨、清晰和责任的重要性,以及审计不是银弹。

2163 0 0 2025-12-12 21:27
汇编与 EVM 课程 - 形式化验证与 Halmos 和 Certora 工具

汇编与 EVM 课程 - 形式化验证与 Halmos 和 Certora 工具

视频 AI 总结: 该视频是关于使用形式化验证和符号执行来审计智能合约,特别是针对一个名为 "Math Master" 的代码库。该代码库包含用于定点数运算的算术库,包括 `molwod`、`molwodUp` 和 `sqrt` 函数,这些函数都大量使用了汇编代码。视频强调了形式化验证在发现模糊测试无法找到的 bug 方面的作用,并介绍了 Halmos 和 Certora 等工具。 关键信息: * **核心内容:** 介绍使用形式化验证工具 Halmos 和 Certora 审计 Math Master 代码库,寻找汇编代码中的 bug。 * **关键信息:** * Math Master 代码库包含 `molwod`、`molwodUp` 和 `sqrt` 三个函数,用于定点数运算。 * 形式化验证可以发现模糊测试无法找到的 bug。 * 介绍了 Halmos 和 Certora 两种形式化验证工具。 * 强调了理解代码库属性和编写正确断言的重要性。 * 演示了如何使用 Halmos 和 Certora 查找 Math Master 代码库中的 bug,包括版本问题、内存指针覆盖和函数选择器错误。 * 讨论了形式化验证的局限性,例如路径爆炸问题。 * 介绍了模块化验证的概念,将复杂问题分解为更简单的子问题。 * 强调了代码审计中手动审查和工具辅助相结合的重要性。

1230 0 0 2025-10-06 11:17
智能合约审计、DeFi安全课程 | 合约审计流程

智能合约审计、DeFi安全课程 | 合约审计流程

**视频 AI 总结:** 本视频是智能合约安全审计课程的一部分,旨在通过实际案例教学,帮助学员掌握智能合约审计的技能。本节课将通过一个名为“密码存储”的合约审计案例,讲解审计流程,包括代码获取、范围确定、漏洞识别、报告撰写等环节。目标是让学员能够独立完成审计报告,并具备参与竞争性审计的能力。 **视频关键信息:** * **审计流程:** 视频详细讲解了智能合约审计的流程,包括范围界定、漏洞识别、报告撰写等关键步骤。 * **代码获取:** 强调了从可靠的代码仓库(如 GitHub)获取代码的重要性,避免直接从区块链浏览器进行审计。 * **范围确定:** 强调了与项目方沟通,明确审计范围(合约、版本等)的重要性。 * **漏洞识别:** 介绍了通过阅读文档、分析代码逻辑等方法来识别潜在漏洞。 * **报告撰写:** 讲解了如何撰写清晰、专业的审计报告,包括漏洞描述、影响、复现步骤和修复建议。 * **工具使用:** 介绍了 Solidity Metrics、CLOC 等辅助审计的工具。 * **实战演练:** 通过“密码存储”合约的审计案例,演示了如何应用所学知识进行实际审计。 * **安全意识:** 强调了智能合约安全的重要性,以及审计人员的责任。 * **CodeHawks 平台:** 鼓励学员注册 CodeHawks 平台,参与竞争性审计,提升技能。 * **审计报告模板:** 提供了审计报告模板,帮助学员撰写专业的审计报告。 * **持续学习:** 强调了持续学习的重要性,建议学员关注安全漏洞报告、安全资讯等,不断提升自身技能。

1933 0 0 2025-09-07 09:32
智能合约审计新手路线图 - 如何在2025年进行审计

智能合约审计新手路线图 - 如何在2025年进行审计

视频 AI 总结: 该视频主要介绍了 Web3 安全和智能合约审计领域,指出其需求巨大且报酬丰厚,但也强调了学习的艰辛和必要性。视频提供了一个详细的初学者路线图,帮助人们成为智能合约审计员、安全研究员和黑客。 关键信息: * 智能合约审计的重要性:由于智能合约一旦部署就不可更改,且涉及大量资金,因此审计至关重要,以避免黑客攻击和资金损失。 * 高薪原因:Web3 安全领域人才短缺,且风险极高,导致智能合约审计员和安全研究员的薪资非常高。 * 学习路线图: * 学习区块链和以太坊的基础知识(阅读比特币和以太坊白皮书)。 * 熟悉 Solidity 编程语言(通过 Solidity 文档、Crypto Zombies 等)。 * 掌握 Foundry 和 Hardhat 等框架。 * 学习常见的智能合约漏洞和攻击模式(通过课程、CTF 挑战等)。 * 参与 CTF 挑战(如 Ethernaut 和 Damn Vulnerable DeFi)。 * 分析真实的 DeFi 攻击案例(通过 DeFi Hack Labs 仓库)。 * 参与审计竞赛(如 Coderina、Sherlock 等)。 * 建立公共形象:通过 LinkedIn、X (Twitter)、Medium 和 GitHub 等平台分享学习进度和研究成果。

1263 0 0 2025-07-24 18:41
高级 Web3 安全课程 | 第八部分

高级 Web3 安全课程 | 第八部分

视频 AI 总结: 该视频是关于智能合约审计培训的 mob auditing 会议,重点在于使用 mob auditing 的方法来查找智能合约中的漏洞。视频中,讲师带领学员们对一个 Perpetual Protocol 的智能合约实现进行审计,并逐步讲解了 mob auditing 的流程和技巧,最终学员们成功发现了一些关键漏洞。 关键信息: 1. **Mob Auditing 介绍:** 类似于 pair programming,但规模更大,有多人参与,角色包括驱动者(driver)和指导者(dictator),其他人作为 mob 提供想法。 2. **Mob Auditing 流程:** 驱动者分享屏幕并逐行解释代码,指导者提出问题和 edge cases,mob 成员随时提出潜在的 bug 或漏洞,角色定期轮换。 3. **审计目标:** 理解如何开仓、追踪盈亏、平仓实现利润、实现损失、存入和执行流动性。 4. **发现的漏洞:** * `increasePosition` 函数中缺少对最大杠杆的验证,可能导致用户开设过高杠杆的仓位。 * USDC 黑名单问题,可能导致用户无法提取资金。 * 清算费用计算中的舍入误差,可能导致小额仓位无法收取清算费用。 5. **Fuzzing 和 Invariant Testing:** 介绍了 fuzzing 和 invariant testing 的概念,以及如何在 Foundry 中使用它们来发现智能合约中的漏洞。 6. **Echidna 介绍:** 介绍了 Echidna 这一更高级的模糊测试工具,它能够进行更复杂的 invariant testing,并提供代码覆盖率报告和可重现的测试用例。

1914 0 0 2025-07-03 15:01