漏洞

这篇文章详细阐述了Web3安全审计员的职业路径与必要技能，为没有编码背景的读者提供了入门的 roadmap。文章强调了Web3安全的重要性、可观的收入潜力以及如何通过逐步学习与实践来实现这一职业目标。通过各种学习资源和实践机会，读者可逐步掌握必要的技能，迈向成功的Web3审计师之路。

本文揭示了在Solana官方stake-pool程序中发现的语义不一致性漏洞，并讨论了漏洞的性质、发现过程及其利用方式。文章详细介绍了带来的风险及安全审计的重要性，强调需要更全面的审计流程。

文章详细介绍了Optimism协议中的一个关键漏洞，该漏洞使攻击者能够通过自毁合约（selfdestruct）无限制地复制OETH（Optimism的ETH表示）。作者讨论了漏洞的原因、影响及其修复过程，强调了安全意识在区块链项目中的重要性。文章结构清晰，包括对L2解决方案的简介、漏洞分析及修复等内容，适合对区块链技术感兴趣的读者。

Mobius项目由于智能合约中的一个漏洞，攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中，计算代币数量时的一个乘法运算缺少了除以10^18的步骤，导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞，从零地址铸造了大量的MBU，并通过一系列操作将资金转移。

Base 资助了 Solady 库的第三方安全审计，主动识别并解决了多个安全问题。Solady v0.1.1 已发布，建议开发者升级。审计发现并修复了包括 ERC-6492 实现中的严重漏洞在内的多个问题，这些漏洞可能导致未经授权的资金转移。Base 强调安全是其首要任务，并致力于通过投资安全研究和开源基础设施审计来提升整个以太坊生态系统的安全性。

本文列出了五个顶尖的智能合约审计和安全课程，旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题，都是业内专家设计，并提供了丰富的学习资源和实用技能。

本文分析了审计竞赛平台常见的营销误导策略，包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时，关注透明度、沟通和有效指标，并提出了一系列问题，帮助读者识别并避免这些误导，从而选择真正能提高代码安全性的平台。

文章讲述了 Notional Finance 系统中出现的一个漏洞，该漏洞由于不正确的形式化验证不变量导致。原本旨在防止资产重复的错误不变量实际上是空洞的，无法发现漏洞。随后通过更正后的简单不变量成功检测到该漏洞，并提出了改进规范安全性的措施，包括审计规范、漏洞赏金、技术检查和集成测试工具，以提高代码安全性和规范的准确性。

白帽黑客Dmitri Tsumak发现RocketPool和Lido Finance的漏洞，该漏洞允许节点运营者窃取用户存款。Dmitri Tsumak 通过 Immunefi 向 RocketPool 和 Lido 提交漏洞报告，并获得了总计 20 万美元的漏洞赏金。文章分析了漏洞的原理，以及以太坊POS机制下，第三方Staking池的攻击向量。

本文介绍了以太坊智能合约的安全最佳实践，包括进行智能合约审计、测试代码、同行代码审查、降低软件复杂性、实施故障保护以及设计安全访问控制机制。此外，还介绍了四种智能合约安全工具，帮助开发者保护智能合约免受漏洞利用。

该文章提出了一个关于模糊测试以太坊网络 (devp2p) 的项目，旨在通过创建模糊器来发现潜在的漏洞。该项目计划使用 Go 语言，并基于 Geth 客户端修改其 devp2p 实现，以发送恶意消息。目标是测试网络升级和客户端的 devp2p 实现，从而发现可能导致崩溃、内存泄漏等问题，并最终提高以太坊网络的安全性。

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报，内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

本文介绍了以太坊开发框架Foundry中的Fuzz测试技术。Fuzz测试通过生成大量随机输入来测试智能合约在各种条件下的行为，帮助开发者发现边界情况和潜在安全漏洞。文章通过一个简单的存款和取款智能合约示例，展示了如何在Foundry中实现Fuzz测试。

OpenZeppelin 对 ink! 和 cargo-contract 进行了安全评估，未发现严重问题，但发现了两个高危问题，Parity 团队正在解决。