DeFi 安全 101 - 如何审计 ZK 电路？

视频 AI 总结： 该视频主要讲解了如何进入零知识证明（ZK）审计领域，并深入探讨了 ZK 的工作原理及其相关领域。演讲者强调了 ZK 的核心在于证明拥有方程组的解，并解释了如何将实际问题编码为方程组。此外，视频还讨论了 ZK 审计所需的背景知识，包括数学基础、Rust 编程、密码学算法和虚拟机架构。 关键信息： * ZK 的本质是证明拥有方程组的解，而非简单地证明知道某些信息。 * ZK 的关键属性包括简洁性（succinctness）和零知识性（zero-knowledge）。 * 可以将实际问题（如 Sudoku 谜题）编码为方程组，并使用 ZK 证明拥有解。 * 进入 ZK 审计领域需要扎实的数学基础或丰富的安全审计经验。 * 学习 ZK 需要掌握 Rust 编程、密码学算法（如哈希函数和数字签名）以及虚拟机架构（如 MIPS 和 RISC-V）。 * 视频推荐了学习 ZK 的步骤，包括阅读 ZK 书籍、学习算术化方案、后端、框架和隐私应用。 * 强调了实践的重要性，建议通过编写代码来加深对 ZK 概念的理解。 * ZK 虚拟机（VM）的难点在于内存一致性模型。

DeFi 安全 101 - 以太坊协议安全

视频 AI 总结： 该视频主要介绍了以太坊基金会（EF）的安全团队及其在协议安全方面的工作，强调了协议安全与智能合约安全的不同，并详细阐述了以太坊架构、客户端多样性的重要性，以及EF使用的各种安全工具和方法，包括模糊测试（fuzzing）、手动代码审查、Hive框架等。此外，还分享了发现漏洞后的处理流程，以及与客户端团队和其它区块链项目的合作方式。最后，通过具体的Geth客户端漏洞案例，展示了协议安全的重要性。 关键信息： * 以太坊基金会安全团队的工作重点是协议安全，而非智能合约安全。 * 协议安全关注网络层面的规则和共识正确性，而智能合约安全关注应用层面的逻辑和漏洞。 * 以太坊架构包括执行层（EL）和共识层（CL），两者通过Engine API进行通信。 * 客户端多样性对于以太坊的安全至关重要，可以降低单一客户端漏洞带来的风险。 * EF使用多种安全工具，包括公共和私有的模糊测试器、Hive框架等。 * 发现漏洞后，EF会与客户端团队合作，共同修复漏洞，并根据漏洞的严重程度决定是否公开披露。 * EF还与其他区块链项目合作，共同提升整个区块链生态系统的安全性。 * EF设有漏洞赏金计划，鼓励安全研究人员发现并报告漏洞。 * EF正在积极推动零知识证明（ZK）技术在以太坊中的应用，以提高性能和可扩展性。

DeFi 安全 101 - 桥安全

视频 AI 总结： 该视频主要讨论了 L2（Layer 2）和桥接安全，以及它们之间的相互作用。视频强调了当前 L2 安全标准主要针对原生桥，但实际上大部分资产通过第三方桥进入 L2，这些资产并不具备 L2 的安全保障。因此，桥接安全的重要性被凸显，甚至可能高于链本身的安全性。视频还介绍了不同类型的桥，包括原生桥（乐观桥和 ZK 桥）和第三方桥，并探讨了统一桥（如 Polygon 的 Aglir）如何提升跨链互操作性和安全性。 关键信息： * L2 的安全标准主要针对原生桥，但大部分资产通过第三方桥进入 L2。 * 第三方桥的安全性可能高于链本身的安全性，但经常被忽视。 * 交易排序是 L2 安全的关键，但通常由单个排序器控制。 * 不同类型的桥包括原生桥（乐观桥和 ZK 桥）和第三方桥。 * 统一桥（如 Aglir）旨在提升跨链互操作性和安全性，通过“悲观证明”实现更安全的跨链连接。 * 机构更倾向于使用 Aglir，因为它将风险隔离在各自的链上。 * Intent 桥接为用户提供了更快的桥接体验，但底层仍依赖于原生桥或第三方桥。

DeFi 安全 101 - 漏洞之外的安全风险及如何避免

视频 AI 总结： 该视频是 Red Guild 团队关于加密货币安全问题的演讲，主题为“101 种被 rekt 的方法”。演讲者 Tincho 和 Matcha 分享了他们在 Web2 和 Web3 之间的安全研究，强调了加密货币领域中除了智能合约漏洞之外，还存在许多其他安全风险。他们介绍了 Red Guild 的工作，包括安全意识活动、工具开发（如 QR 安全扫描器）以及威胁模拟平台 Phishing Dojo。演讲涵盖了 VS Code 扩展的滥用、提示注入攻击以及如何通过这些途径攻击用户和开发者。 关键信息： * **核心内容：** 加密货币安全不仅仅是智能合约安全，还包括容器逃逸、提示注入、网络钓鱼等多种攻击方式。 * **VS Code 扩展安全：** 演示了如何通过恶意 VS Code 扩展逃逸容器，并利用转发的 socket 窃取 SSH 密钥和 GPG 密码。 * **提示注入攻击：** 展示了如何通过修改 LLM 的上下文（如 Markdown 文件、配置文件）来注入恶意提示，从而控制 LLM 的行为，例如数据泄露、执行恶意代码等。 * **Phishing Dojo：** 介绍了 Red Guild 开发的免费威胁模拟平台，旨在通过模拟真实的钓鱼场景来提高用户识别和防御网络钓鱼攻击的能力。 * **Red Guild 的工作：** 强调 Red Guild 是一家非营利组织，致力于为以太坊生态系统的公共利益提供安全服务，包括安全研究、工具开发和安全意识教育。

DeFi 安全 101 - 从模糊测试到形式化验证

视频 AI 总结： 该视频主要讲解了如何从模糊测试（Fuzzing）过渡到形式化验证（Formal Verification），并对比了两者的异同。核心观点是，模糊测试和形式化验证都是发现智能合约漏洞的工具，但形式化验证能提供更强的保证。视频通过一个计算二进制数中“1”的个数（pop count）的例子，以及一个简单的 Vault 合约的例子，演示了如何使用 Certora 的工具进行形式化验证，并强调了在智能合约开发中尽早同时使用这两种方法的重要性。 视频中提出的关键信息： * **模糊测试 (Fuzzing)**：通过生成大量随机输入来测试代码，寻找违反预设属性的情况。虽然易于上手，但覆盖范围有限，只能提供概率性的保证。 * **形式化验证 (Formal Verification)**：通过数学证明来验证代码是否完全符合规范。可以覆盖所有可能的输入，提供更强的保证，但学习曲线较陡峭。 * **不变性 (Invariants)**：在合约的所有状态下都必须保持为真的属性。形式化验证可以用来证明不变性在合约的任何状态下都成立。 * **Certora Prover**：Certora 的形式化验证工具，可以将代码和规范编译成逻辑公式，并使用求解器来验证公式的有效性。 * **CVL (Certora Verification Language)**：Certora 的验证语言，用于编写形式化规范。 * **Solvency**：一种重要的 Vault 合约属性，指总的 shares 数量小于等于总的 tokens 数量。 * **尽早使用**：建议在智能合约开发的早期阶段就开始使用模糊测试和形式化验证，以便尽早发现并修复漏洞。

DeFi 安全 101 - 模糊测试

视频 AI 总结： 该视频主要讲解了如何使用模糊测试（Fuzzing）技术来发现智能合约中的安全漏洞，并将其优化成可利用的漏洞。演讲者分享了从最初的模糊测试失败，到最终发现并优化漏洞，实现高达 50,000 倍的利用的完整过程。核心在于利用状态模糊测试，结合 Foundry 工具，以及 Echidna 优化模式，对智能合约进行安全分析。 关键信息： * **状态模糊测试 (Stateful Fuzzing)**：通过尝试随机组合来改变合约状态，从而发现潜在漏洞。 * **Foundry 工具**：用于快速设置和使用模糊测试，但可能导致虚假的安全感，因为测试仅限于硬编码的操作序列。 * **Echidna 工具**：用于优化模糊测试结果，找到最大化漏洞利用的场景。 * **逐步升级 (Progressive Escalation)**：从简单的单元测试开始，逐步增加测试的复杂性，最终实现漏洞利用。 * **覆盖率报告 (Coverage Report)**：用于评估模糊测试的有效性，并指导测试方向。 * **真阳性与假阳性**：强调区分真正的漏洞和因不正确的测试属性导致的假阳性。 * **符号执行 (Symbolic Execution)**：用于快速验证属性是否可被破坏，但无法保证实际可利用性。 * **实际案例**：通过一个 Oracle 合约的例子，展示了如何使用这些技术发现并优化漏洞，最终实现高倍数的漏洞利用。

DeFi 安全 101 - Web3 运营安全

视频 AI 总结： 该视频主要讨论了 Web3 领域的运营安全问题，强调了社交工程攻击的普遍性和危害性，并分享了五个案例，揭示了攻击者如何利用 Telegram 冒充身份、通过钓鱼邮件传播恶意软件、以及利用 Google 账户漏洞窃取信息。视频强调了安全意识的重要性，并给出了具体的防范建议，例如使用 YubiKey 进行双因素认证、不在同一平台存储所有信息、以及及时报告安全事件。 关键信息： * Web3 领域 99% 的资金盗窃并非源于智能合约漏洞，而是运营安全问题，其中 99% 的攻击始于社交工程。 * 攻击者可以通过 Telegram 冒充熟人进行诈骗，利用虚假 OTC 交易窃取资金。 * 钓鱼攻击可能来自受信任的来源，例如官方邮件列表或被黑的博客，需要时刻保持警惕。 * 将所有信息（邮件、密码、验证码）都存储在 Google 账户中存在风险，一旦账户被盗，所有关联账户都可能失窃。 * 传统的双因素认证方式（如 Google Authenticator）容易被钓鱼，推荐使用 YubiKey 进行硬件认证。 * 电脑被感染是不可避免的，重要的是及时报告并采取措施，避免更大的损失。 * Web3 组织中可能存在威胁行为者，需要保持警惕。 * 如果从未出现过误判，说明安全意识还不够。

DeFi 安全 101 - 智能合约审计 2025

视频 AI 总结： 该视频是 DeFi 安全峰会的一部分，旨在为智能合约审计提供实用技巧。演讲者分享了超过 100 条关于学习、审计方法、个人策略以及在公司或团队中作为安全研究员的建议。核心强调了持续学习、专注、沟通、挑战既定观念以及道德的重要性。视频旨在帮助新手和有经验的安全研究员提升技能，并强调了安全审计在 DeFi 领域的重要性。 关键信息： * **学习方面：** 强调深入学习特定领域，阅读代码而非仅教程，战略性地选择项目，专注，以及不要过度依赖 AI。 * **审计方面：** 强调在理解和破坏之间切换思维，提出“如果...会怎样”的问题，优先考虑重要性而非完整性，制定审查计划，以及构建轻量级的威胁模型。 * **个人策略：** 建议从自身角度出发思考可能犯的错误，使用视觉辅助工具，从核心组件或隔离组件入手，关注资金流和用户流程，以及先处理表面问题。 * **职业发展：** 强调软技能、沟通、写作能力，适应客户需求，团队合作，以及关注学习机会而非仅薪资。 * **个人特质：** 建议限制社交媒体使用，培养成长型思维，对安全研究充满热情，持续学习，关注心理健康，以及思考道德伦理。 * **其他建议：** 优先考虑最大影响或最大收益的代码，简化代码逻辑，寻找人迹罕至的路径，寻求真相，先理解系统再破坏它，以及尊重开发者。 * **测试与 AI：** 强调测试的重要性，将 AI 作为头脑风暴工具，以及逐步升级测试方法。 * **实用技巧：** 形式化验证无状态库，面对挑战时不断提升自己，重写代码进行比较，以及享受并准备好迎接巅峰体验。 * **报告与沟通：** 缓慢而清晰地撰写报告，认真对待每一个漏洞，从终点出发，以及与优秀的人一起工作。 * **审计基础：** 审计是阅读代码，围绕资产、行动者和行动展开，挑战一切，以及区分异常、问题和漏洞。 * **协作审计：** 强调沟通、信任、严谨、清晰和责任的重要性，以及审计不是银弹。