安全漏洞

本文档介绍了 OpenZeppelin Defender 的 Audit 模块，该模块旨在帮助团队进行智能合约安全审计，保持可搜索的审计和问题存储库，简化审计员与开发人员之间的交互，自动化修复审查过程，并跟踪问题的完整生命周期。主要功能包括审计报告同步、问题跟踪、状态管理以及修复验证。

本文详细介绍了在Solidity智能合约中常见的安全漏洞，包括重入攻击、计算错误、预言机失败/操控、弱访问控制和前置运行攻击。同时提供了一些解决方案和预防措施，帮助开发者提升智能合约的安全性。

这篇文章讨论了如何发现和修复区块链项目中的安全漏洞，特别是Premia Finance的一个例子。文章深入探讨了寻找目标、研究方法、发现和修复漏洞的过程，强调了了解项目机制的重要性和不同协议的风险评估。

文章介绍了智能合约审计的概念、类型、流程及其重要性，并提供了选择审计公司的建议和注意事项。

该文档是对 matter-labs/zksync-sso-clave-contracts 代码仓库的审计报告，审计重点关注了 SsoAccount 合约及其相关的 GuardianRecoveryValidator 和 WebAuthValidator 合约。

2023年3月29日，SafeMoon的流动性池遭到攻击，损失890万美元。从交易记录和合约更新中可以看出，合约的修改导致了漏洞，使得任何人都可以调用mint函数并转移tokens。攻击者利用这一漏洞通过闪电贷进行了一系列操作，最终导致资金损失。

本文作者分享了使用 Certora Verification Language (CVL) 进行智能合约形式化验证的经验，通过将模糊测试中的不变量思想应用于 CVL，解决了之前在模糊测试中发现的真实漏洞的简化版本。文章详细对比了模糊测试与形式化验证的异同，并展示了使用 Certora 解决各种漏洞的实例，强调了 Certora 在漏洞检测方面的有效性和简洁性。

本文探讨了代币经济学与智能合约安全之间的关键关系，强调了智能合约漏洞对代币价值、用户信任和市场稳定的影响。文章分析了主要的智能合约漏洞类型，讨论了智能合约审计的重要性，并提出了增强智能合约安全性的最佳实践。此外，文章还探讨了监管因素对代币经济学和智能合约安全的影响，并强调了在代币经济模型中整合安全措施的重要性。

本文讨论了以太坊智能合约与Solana程序之间的关键区别，特别是在代码与数据的耦合与解耦方面，并介绍了Solana程序中常见的两种安全漏洞。这些问题的存在使得Solana程序在性能与安全性之间面临挑战，同时提供了相关的解决建议和资源。

BlockSec 团队在 Solana 的 rBPF 中发现了一个安全漏洞，该漏洞可能导致合约执行路径错误。该漏洞存在于 rBPF 的较新版本中（0.2.26 到 0.2.27）。BlockSec 团队及时向 Solana 安全团队报告了该漏洞，Solana 团队迅速确认并修复了该问题，并授予 BlockSec 团队价值 40 万美元的 SOL 代币奖励。

文章主要讨论了 Nomad 跨链桥遭受攻击后的应对措施和未来计划。文章分析了 Nomad 桥被黑的独特性，例如：黑客人数众多，被盗资金构成复杂，以及黑客攻击后的交易验证问题。Nomad 团队提出了三个阶段的恢复计划：资金追回、桥升级和桥重启及资金分配，旨在公平有序地让用户 "解桥"。

Quicksilver liquid staking protocol 在 onboard Cosmos Hub 时遭遇恶意攻击，攻击者利用 Cosmos Hub 中 IBC-go 版本的安全漏洞阻止了 Quicksilver 的 onboard。

2025年1月23日，新加坡加密货币交易所Phemex遭遇重大安全漏洞，导致约3700万美元的数字资产被未授权提取。攻击者利用多条区块链网络的智能合约漏洞，实施超过125笔可疑交易，突显了中心化交易所的安全协议缺陷。

2024年10月16日，Radiant Capital遭遇安全漏洞，损失约5000万美元。攻击者通过精密的恶意软件注入，成功篡改了至少三名长期贡献者的硬件钱包。这些开发者使用硬件钱包，且地理位置分散，这降低了被物理攻击的可能性。攻击者在正常的多重签名交易过程中，以合法的交易数据诱骗签名，导致数百万美元被盗。事件引发了广泛的安全讨论，强调了在DeFi环境中，盲签名及常见错误消息可能掩盖更深层次问题的风险。为避免类似事件，建议实施多层签名验证、独立设备校验、增强硬件钱包安全性等监控和审计机制。

本文讲述了一种新颖的供应链攻击方法，作者通过上传恶意Node.js包到npm注册表，利用内部包名称寻找目标公司的安全漏洞，成功入侵了苹果、微软等多家知名企业。主要源于开发者对代码包的盲目信任以及依赖管理工具的设计缺陷。