本文讨论了DeFi智能合约中的一种常见安全漏洞——双向舍入,解释了该漏洞如何导致交易者通过回合交易获利,介绍了避免这一漏洞的代码修复方法,并展示了sec3 Pro如何自动检测这类漏洞。通过实例分析,提供了对此问题的深刻见解和解决方案。
Euler Finance遭遇了约2亿美元的黑客攻击,原因是其EToken智能合约中的缺陷导致的流动性检查缺失。文章详细分析了攻击的步骤、所用合约和过程,并提供了攻击的概念验证。解读了如何在该协议中出现此类漏洞及其可能的解决方案。
Kamino Lending (KLend) is a lending protocol on Solana that emphasizes security through a partnership with Certora for rigorous code audits and formal verification。
本次是对MerkleDB的预生产使用的代码审计,发现了一个高危漏洞,即能够为Trie中存在的键生成有效的排除证明。此外,还发现了一些低危漏洞和信息性问题,例如RecordKeyChange忽略ErrorNotFound、addPathInfo函数可能使用错误的压缩键等。代码质量总体较高,但在实际生产环境中仍需进行更广泛的测试。
OpenZeppelin Defender 是一个开发者安全平台,旨在帮助开发者在区块链应用的编码、审计、部署、监控和运营的各个阶段更有信心地保障安全。它提供多种订阅模式,并集成了代码检查、审计管理、部署管理、Relayer、监控、事务提议、自动化操作、地址簿和访问控制等模块,支持多种主网和测试网络,还提供与其他服务的集成。付费订阅用户可享有增强的服务可靠性、正常运行时间和优先支持。
本文讨论了Zellic收购Code4rena的影响,强调这一举措将改善客户的安全审计体验。文章介绍了两种审计方法—咨询审计和竞争审计,强调结合这两种方法能为客户提供更全面、更有效的安全保障。
本文提供了一系列关于如何提升报告外观和可读性的技巧,包括使用合适的模板、VSCode扩展、及其它实用工具。强调了报告的格式和视觉效果对审阅者的重要性,并提供了代码片段和diff块等丰富内容。文章适合希望优化审计报告表达的读者。
本文是一篇针对 Across 协议的智能合约代码审计报告,该协议旨在实现以太坊 L1 和 L2 链之间的快速 token 转移。审计发现了包括关键和中等严重程度漏洞在内的多个问题,并提出了改进代码清晰度、可读性和健壮性的建议。主要问题包括 gas token 金额的错误缩放、过时的 SafeERC20 合约以及潜在的 ETH 锁定等。
这是一份OpenZeppelin对SP1 Helios的代码审计报告,该报告详细分析了SP1 Helios代码中存在的安全问题、代码质量问题以及潜在的改进建议。报告发现了一个客户端报告的问题,可能导致无效的最终性更新,并提出了修复建议。此外,报告还指出了代码中存在的低危漏洞、拼写错误、文档缺失、冗余操作等问题。