Web3 安全审计师回顾2024 年安全问题

OpenZeppelin发布了5.2版合约，增强了跨链互操作性和账户抽象框架，推出了ERC-4337和ERC-7579等新功能。社区合约库加强了这些标准的实验性实现，支持跨链消息传递，并提供了易于使用的工具和文档，旨在促进智能合约开发者的快速迭代和协作。

本文档介绍了OpenZeppelin社区合约库中的实用工具合约和库，包括用于签名验证、处理新数据类型和安全使用底层原语的工具。

本文讨论了以太坊生态系统中互操作性的关键性，特别是在多个二层解决方案（L2）的扩展中。OpenZeppelin与Interop Labs合作，旨在开发跨链通信的标准和安全的消息解决方案，以应对L2之间资产和数据流动不畅的问题。这一合作不仅将增强以太坊的互操作性，还将推动区块链生态系统的整体发展。

使用 OpenZeppelin Monitor 监控智能合约的链上活动

Defender允许你轻松地跨链部署和升级智能合约，同时保持最佳的安全实践。本教程展示了如何使用一个Relayer来部署一个名为Box的合约，并通过一个Safewallet（多签钱包）使用UUPS代理模式进行升级。

OpenZeppelin 对 Across Protocol 的 contracts-v2 代码仓库进行了安全评估，发现了多个问题，包括客户端报告的 refunds 处理不当、slow fill 潜在的支付不足以及 recipient/message 功能失效等问题。

本文详细解析了 ERC4626 代币库的工作原理及其安全隐患，特别是通货膨胀攻击的机制及其对初始存款用户的影响，并讨论了若干缓解策略，如使用 ERC4626 路由器、内部资产跟踪以及创建“死牌”的方法，以提升安全性。文章最后提供了关于实施安全性和保护用户资产的建议。

本文为OpenZeppelin开展的EIP-4337审计安全评估，详细分析了智能合约的高严重性问题及其他找出的潜在安全漏洞，提供了相关的修复更新信息和对文档的改进建议，同时提出了对监控合约活动的推荐。全面探讨了包括代码库中的建议更改、bug修复和更新方法。

EIP-4337提出了一种将账户抽象功能添加到以太坊主网的规范，同时调查了其参考实现的安全性。文章详细审计了智能合约的设计与实现，提出了多个安全性建议，强调用户操作的有效性和支付者的责任。尽管实现在功能上具有灵活性和创新空间，审计提出了多项高优先级和关键性的安全隐患，以及对代码质量和文档的改进建议。