安全审计

2022年7月12日早6时，币安交易平台CEO赵长鹏发推表示，通过威胁情报在 ETH 区块链上检测到 Uniswap V3 潜在漏洞，到目前为止，黑客已经窃取了 4295 ETH。并给出了黑客转移资金的相关地址。

OpenZeppelin 对 Stellar Contracts Library v0.3.0-rc.3 版本进行了安全审计，发现了包括严重、高、中、低风险在内的37个问题，该版本引入了架构增强、新功能和扩展的开发者实用程序，特别是通证模块的重构和基于角色的访问控制机制。审计报告强调了潜在的安全风险，并提出了改进建议。

北京时间2021年5月28日，BurgerSwap官方推文称遭到闪电贷攻击，已暂停Swap和BURGER功能，零时科技安全团队及时对该安全事件进行复盘分析。

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

tornado cash中将merkle tree运用到零知识证明中，零知识证明中proof实际捆绑了凭证note，用户自己的merkle root，nullifierHash，资金接收者地址

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

Radiant Capital的DeFi平台在2024年1月2日遭遇了一次闪电贷攻击，攻击者利用新上架的USDC市场的流动性指数漏洞进行操作，导致未授权借贷和坏账累积。目前，Radiant已经采取多项措施回应这一事件，进行了安全审计，并计划通过使用DAO资金逐步偿还剩余的720 ETH坏账。

本文是对Avalanche Warp Messaging协议的一次安全审计，发现该协议缺乏内置的重放攻击预防和目标链验证机制，存在潜在的拒绝服务风险。此外，代码中存在结构体内存布局效率低下和不必要的空签名赋值等问题。审计报告肯定了该协议设计的简洁性和代码质量，并强调了开发者在构建跨链消息传递应用时需要考虑安全性。

本次审计对 OffchainLabs/stylus-sdk-rs 仓库在特定 commit 进行了安全审计，发现了 36 个问题，包括严重、高、中、低风险问题。审计范围涵盖 stylus-proc, stylus-sdk, examples, mini-alloc 目录下的多个文件。审计结果表明该项目尚处于开发阶段，但团队积极解决问题，建议在问题解决和项目成熟后进行后续审计。

OpenZeppelin 对 Mantle Network 的 Mantle token 合约和桥合约进行了安全审计，发现了一些低风险问题和需要注意的点，包括误导性的注释、桥合约可以被重新初始化、以及一些代码上的优化空间。审计建议 Mantle 团队关注治理行为和资产转移，以确保系统的安全。

本文详细介绍了智能合约安全审计的重要性、流程、用例、常见漏洞、工具和最佳实践。强调了在区块链应用中进行安全审计的关键性，以防止潜在的漏洞利用和资产损失，并提供了智能合约开发和审计的最佳实践。

本文深入探讨了现代重入漏洞，这种漏洞不仅仅是传统意义上的在状态更新完成前进行外部调用。文章通过实例展示了如何在只读视图（view）函数中利用重入漏洞，以及自动化检测工具的局限性。同时，强调了安全审计的重要性，并提出了有效的防御措施，例如在执行过程中防止关键视图调用。

合约中的计算奖励函数的算法只与用户地址余额和时间差有关

建议对于转移流动性时添加对于新池子的初始价格的判断，避免在进行资金迁移时有巨额资金剩余。