银行在构建链上金融基础设施时，架构决策（如升级治理、密钥管理、访问控制、暂停机制、依赖集成和链选择）至关重要，因为这些决策在代码编写前就已确定，且上线后难以更改。文章强调了架构审查的价值，指出设计阶段的决策决定了安全态势，而预上线安全审查只能记录现有模型。建议银行在设计阶段进行架构审查，以确保合规与风险管理。

传统金融正在迁移到链上，对金融机构而言，执行和标准是关键。文章将链上金融安全标准分为三个层次：代码层（使用经过审计的库如OpenZeppelin Contracts、遵循ERC标准并进行安全审计）、操作层（密钥托管、多签配置、部署流程、监控报警）和合规层（多维度风险评估，包括区块链基础设施、抵押品质量、市场流动性、操作控制和智能合约安全历史）。文章强调安全应融入开发生命周期，而非一次性检查。

美国GENIUS法案为稳定币建立了联邦框架，但缺乏具体区块链安全标准，导致发行者面临合规挑战。文章分析了法案的原则性要求与执行之间的差距，指出稳定币发行者需从智能合约、区块链协议和操作层三个层面进行风险评估，并建议尽早构建安全基础设施。同时，欧盟的MiCA和DORA已实施可执行的安全要求。OpenZeppelin通过全栈风险评估帮助发行者应对监管，参与全球标准制定。

美国GENIUS法案为稳定币建立了联邦监管框架，但缺乏具体的区块链安全标准。文章分析了法案的原则性要求与执行之间的差距，指出发行商需主动构建涵盖智能合约、区块链协议和运营层的安全控制。当前美国规则尚不明确，而欧盟MiCA和DORA已生效。OpenZeppelin建议发行商尽早进行风险评估和合规准备，以应对即将到来的许可申请和监管审查。

文章指出传统金融采购流程（如SOC 2）无法应对区块链服务商引入的智能合约风险与基础设施风险。它分析了托管、代币化、稳定币发行等供应商的不同风险，以及底层网络、预言机、桥等基础设施的无对手方风险。强调智能合约供应链中的多重依赖，并提出了包含区块链基础设施、抵押品、市场流动性、操作控制、智能合约安全五个维度的技术风险评估框架。建议机构建立内部区块链安全素养，明确责任归属，以防范因供应商安全标准不一导致的损失。

Solana 的 syscall 解析机制通过 Murmur3 哈希而非名称字符串来识别系统调用，因此程序可以使用任意名称调用 syscall，只要该名称的哈希值与合法 syscall 相同。这一特性在 SBPF v0/v1/v2 中存在，可能导致性能开销（多次缓存未命中）和代码混淆风险（阻碍审计和静态分析）。文章详细介绍了 syscall 的工作原理、内部实现（ELF 文件中的 CALL_IMM 指令和重定位表）以及安全影响。

本文由OpenZeppelin发布，指出DeFi安全威胁已从智能合约漏洞转向操作层，如签名基础设施、治理升级和跨链集成。分析了Bybit、Drift等重大攻击案例，强调机构需要持续监控和操作安全评估，而非仅依赖代码审计。提出了四层风险框架和参与DeFi的步骤建议。

OpenZeppelin 推出持续性安全计划，针对传统点对点审计在代码持续迭代、系统快速演进下的盲区，提供覆盖全生命周期的持续安全服务。

OpenZeppelin发布了针对六大区块链网络（以太坊、Solana、BNB Smart Chain、XRP Ledger、Tron、Canton）的技术风险评估报告。

本文分析了Sui Move语言中四种关键的漏洞模式，这些模式能通过编译和基本测试，但在对抗性条件下才会暴露。包括引用赋值导致字段错误修改、泛型类型参数不匹配导致资金被盗、公开函数可见性错误导致状态被篡改，以及热土豆收据未验证来源ID导致重定向资金。每种模式都提供了真实审计案例、攻击原理和修复方案。