About this Column Analyzing recent or significant security incidents is crucial for understanding the root causes and developing effective strategies to prevent future breaches. In this column, I will delve into the underlying factors and attack steps that contribute to these incidents.

About Myself

Hello everyone, I'm Lori. I specialize in blockchain security. Here are some of the works I completed during my master's program:

Blockchain Security Research

• Consensus Mechanisms and Chain Selection Algorithms: Conducted in-depth research on the consensus mechanisms and chain selection algorithms of blockchains like Ethereum and Solana. I paid special attention to GHOST protocols, analyzing potential vulnerabilities within them.
• Smart Contract Security Research and Attack Replication: Studied smart contract security extensively, familiarizing myself with common attack vectors.

CertiK将在此专栏发布Web3.0相关的安全漏洞技术文章，帮助大家了解区块链相关技术。

CertiK总部位于纽约，由耶鲁大学和哥伦比亚大学的两位教授创立。作为头部Web3安全机构，CertiK以守护Web3生态的安全为愿景，依托其核心技术和人才优势，为全球150个国家的4682个项目提供审计、安全评级、合规与反洗钱、投资和安全相关服务，致力于最大化客户利益，并持续为社区创造价值。

在《Ton生态开发实战系列》专栏中，我们将深入探索Ton区块链生态系统的开发与应用。本专栏旨在为开发者提供全面的指导与实战经验，从基础概念到高级开发技巧，助力您在Ton生态中构建创新的去中心化应用（DApps）。无论您是初学者还是经验丰富的开发者，这里都有适合您的内容，让我们一起解锁Ton生态的无限可能。

在这系列文章中，我们将深入探讨 Solidity 的内联汇编（Yul）。你可能会问：“我学会 Solidity 不就能写大部分合约了吗？为什么还需要学习内联汇编？”的确，大部分合约的编写完全可以通过 Solidity 完成。但内联汇编是 Solidity 的一个重要补充，它让你更深入地理解底层操作和合约优化。

起初，我也曾对内联汇编感到困惑，尽管我曾尝试过，但很快就忘记了。中文资料少且零散，这使得学习内联汇编变得更加困难。后来，找到了 Jeffrey Scholz 较为系统的讲解 Yul 的课程，此系列文章为我当时的学习笔记整理而来。学习 Yul 让我对存储、内存、栈、合约调用以及 ABI 编码有了更深入的理解。

即使你未来可能不会直接编写内联汇编代码，但掌握这些知识对编写更高效的 Solidity 合约是非常有帮助的。希望这系列文章能帮助你更好地理解内联汇编的基础及其在合约中的应用。

什么是 Rust？

Rust 是一种系统编程语言，设计目的是为了在保证安全性的同时追求高性能。由 Mozilla Research 开发，Rust 以其独特的内存管理方式和编译时保证的线程安全而著称，成为现代系统编程领域的佼佼者。

Rust 的历史

Rust 的开发始于 2010 年，由 Graydon Hoare 在 Mozilla 领导下发起。2015 年，Rust 发布了 1.0 版本，标志着其稳定版的正式推出。自此之后，Rust 社区迅速发展，并获得了众多开发者的青睐。

Rust 的主要特性

1. 内存安全：Rust 的所有权系统（ownership system）通过编译时检查，确保在不需要垃圾回收的情况下防止空指针引用和数据竞争。
2. 高性能：Rust 通过零成本抽象和高效的编译优化，提供了与 C 和 C++ 相媲美的性能。
3. 并发安全：Rust 的所有权系统和类型系统在编译时保证线程安全，防止数据竞争。
4. 无运行时：Rust 没有运行时和垃圾回收器，使其特别适合嵌入式编程和其他系统编程任务。
5. 丰富的类型系统：Rust 提供了强大的模式匹配、代数数据类型和泛型，使得代码更为表达性和灵活性。

Rust 的核心概念

1. 所有权（Ownership）：每个值在某一时刻只有一个所有者，当所有者超出作用域时，该值将被释放。
2. 借用（Borrowing）：允许引用值而不获取所有权，分为可变借用和不可变借用，且不能同时存在多个可变借用和不可变借用。
3. 生命周期（Lifetimes）：编译时追踪引用的生命周期，确保引用在使用时始终有效。
4. 模式匹配：Rust 的 match 语句和解构赋值使得处理复杂数据结构变得简单且直观。

Rust 的应用领域

1. 系统编程：如操作系统内核和驱动程序，Rust 的性能和安全性使其成为理想选择。
2. 嵌入式系统：Rust 无运行时特性使其适用于资源受限的嵌入式设备。
3. WebAssembly：Rust 可以编译为 WebAssembly，用于高性能的 Web 应用开发。
4. 区块链：许多区块链项目选择 Rust 作为核心开发语言，如 Polkadot 和 Substrate。
5. 命令行工具：Rust 提供了强大的标准库和生态系统，用于开发高效的命令行工具。

Rust 的生态系统

1. Cargo：Rust 的包管理和构建系统，简化了项目的依赖管理和构建过程。
2. Crates.io：Rust 的包管理库，提供了丰富的第三方库供开发者使用。
3. Rustfmt 和 Clippy：用于代码格式化和静态分析，帮助开发者保持一致的代码风格和高质量代码。
4. Rust 语言服务器（RLS）：提供了强大的 IDE 支持，使得开发过程更为高效。

Rust 的社区和学习资源

Rust 拥有一个活跃且友好的社区，提供了丰富的学习资源，包括：

• Rust 官方文档：详细介绍了 Rust 的核心概念和标准库。
• The Rust Programming Language（《Rust 编程语言》）：一本全面的 Rust 教程，适合初学者和有经验的开发者。
• Rust by Example：通过示例学习 Rust 的交互式教程。
• Rust 论坛和聊天频道：如 Rust 用户论坛和 Discord 聊天频道，提供了与其他 Rustaceans 交流和学习的机会。

结语

Rust 作为一门现代系统编程语言，以其独特的安全性和高性能特性，在许多领域展现出巨大的潜力和应用前景。无论你是系统编程的老手，还是刚刚接触编程的新手，Rust 都为你提供了强大的工具和丰富的资源，帮助你写出更安全、更高效的代码。

欢迎订阅和关注我们的 Rust 专栏，了解更多关于 Rust 的最新动态和深入解析！

Solana极简入门

Solana-web3.js

1. 创建钱包导入Phantom并领取测试令牌
2. 隐藏私钥并导入代码
3. 链接到Devnet并查询余额
4. 构建交易 发送SOl

Rust 智能合约

5. IDE - Solana Playground
6. Rust 语法基础（上）
7. Rust 语法基础（中）
8. Rust 语法基础（下）
9. Hello World
10. 使用 JS 调用智能合约
11. 智能合约之间的消息调用（CPI）

Anchor 框架

12. Hello Anchor
13. Anchor + Meta plex 创建元数据代币

DAPP - 计数器

14. Anchor 链端开发
15. 前端链接到 Phantom 插件钱包
16. 前端与链端通信
17. 前端打包 部署到Vercel

扩展

Token 令牌篇

18. 使用Meta plex发行主网令牌 并禁用mint
19. 更便宜的 Market ID
20. 在 Raydium 添加流动性
21. Web3 工具箱 - Solana令牌批量空投

NFT 篇

22. 使用Meta plex发行NFT

Python开发工具

23. Seahorse

参考资料：

• Solana 官方文档 https://solana.com/zh/docs

• SolDev 课程 https://www.soldev.app/course

• Solana Playground 学习资料 https://beta.solpg.io/tutorials

本专栏分享的内容包含比特币生态涉及的理论研究、扩容技术、文化、密码学、观点、技术分析等内容

适合对比特币感兴趣的同学

上图为比特币生态的知识点结构图

本专栏分享比特币生态的技术资料，内容来源于：https://www.btcstudy.org/

Slither是一种基于静态分析的漏洞扫描框架，用于检测Solidity智能合约中的安全漏洞。 Slither框架具有以下特点和功能：

1. 静态分析：Slither通过对Solidity源代码进行静态分析，而不需要实际执行合约，可以在合约部署之前发现潜在的漏洞和安全问题。 2.多种漏洞检测：Slither内置了多种漏洞检测插件，包括但不限于：可重入漏洞、整数溢出/下溢漏洞、未初始化变量漏洞、权限问题等。 3.高度可配置：Slither提供了丰富的配置选项，可以根据具体需求选择性地启用或禁用特定的漏洞检测插件，以及设置警告级别和输出格式。 4.可扩展性：Slither的设计允许开发人员编写自定义的漏洞检测插件，以满足特定合约的需求或发现新的漏洞类型。 5.详细报告：Slither生成详细的报告，包括每个漏洞的位置、类型、修复建议等信息，帮助开发人员快速定位和解决问题。

登链社区应该有很多同学知道 Ethernaut ， 他是OpenZeppelin创建的一个闯关网站（CTF），里面包含了很多的智能合约相关的安全问题，每个问题是一个关卡，你需要”黑掉“合约，才可以突破关卡。

通过闯关学习，可以很好的提升智能合约的认知与安全技能，帮助我们写出优秀的智能合约代码， 尤其是对于安全审计人员来说是一个很不错的学习资源。

本题库闯关专栏一共会包含 24 道闯关题，部分闯关文章会象征性设置为收费文章（每篇文章不高于 1 元），但随着文章的发布，会逐步提升价格，最终订阅价格是 100 个学分，所以朋友们尽快订阅哦，以最少的费用阅读所有的文章。

SharkTeam是领先的Web3安全服务提供商，提供智能合约审计、链上分析和应急响应服务。 Web:www.sharkteam.org TG: https://t.me/sharkteamorg Twitter: https://twitter.com/sharkteamorg