安全审计

该文档是OpenZeppelin对Moonsong-Labs/zksync-social-login-circuit代码仓库进行的安全审计报告，主要内容是利用零知识证明验证Google账户所有权的Circom电路，用于智能账户恢复，审计发现了一些完整性和非确定性问题，并提出了改进代码质量的建议。

本文分析了审计竞赛平台常见的营销误导策略，包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时，关注透明度、沟通和有效指标，并提出了一系列问题，帮助读者识别并避免这些误导，从而选择真正能提高代码安全性的平台。

上篇更多是围绕 ERC-4337 运作机制、背景进行说明。下篇详细讲述当前被审计方案的优缺与实施细节，但涉及较多以太坊底层

通过此次攻击来看,该次攻击核心主要为项目方合约Token价格计算机制过于简单，当USD数量变动较大时EGDToken数量跟着变动，使得攻击者能够通过影响池子中另一个代币数量来影响EGDToken奖励数量。

北京时间2023年2月3日，BSC链与ETH链上Orion Protocol受到黑客攻击，攻击者获利约300万美元，攻击者地址为0x837962b686fd5a407fb4e5f92e8be86a230484bd，被盗资金已转移至Tornado.Cash混币平台。

零时科技区块链安全情报平台监控到消息，北京时间2022年10月12日，TempleDAO项目遭受黑客攻击。损失超237万美元，零时科技安全团队及时对此安全事件进行分析。

本次攻击是由于项目新增合约时未进行安全审计，新增合约破坏原有合约权限认证机制，配合Updater 签名重放问题，从而导致这两个利用点被组合利用。

跨链互操作协议 Poly Network 突遭黑客攻击，使用该协议的 O3 Swap 损失惨重，在以太坊、币安智能链、Polygon 三条网络上的资产几乎被洗劫一空......

2022年7月12日早6时，币安交易平台CEO赵长鹏发推表示，通过威胁情报在 ETH 区块链上检测到 Uniswap V3 潜在漏洞，到目前为止，黑客已经窃取了 4295 ETH。并给出了黑客转移资金的相关地址。

北京时间2021年5月28日，BurgerSwap官方推文称遭到闪电贷攻击，已暂停Swap和BURGER功能，零时科技安全团队及时对该安全事件进行复盘分析。

tornado cash中将merkle tree运用到零知识证明中，零知识证明中proof实际捆绑了凭证note，用户自己的merkle root，nullifierHash，资金接收者地址

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

Radiant Capital的DeFi平台在2024年1月2日遭遇了一次闪电贷攻击，攻击者利用新上架的USDC市场的流动性指数漏洞进行操作，导致未授权借贷和坏账累积。目前，Radiant已经采取多项措施回应这一事件，进行了安全审计，并计划通过使用DAO资金逐步偿还剩余的720 ETH坏账。

本文是对Avalanche Warp Messaging协议的一次安全审计，发现该协议缺乏内置的重放攻击预防和目标链验证机制，存在潜在的拒绝服务风险。此外，代码中存在结构体内存布局效率低下和不必要的空签名赋值等问题。审计报告肯定了该协议设计的简洁性和代码质量，并强调了开发者在构建跨链消息传递应用时需要考虑安全性。

本次审计对 OffchainLabs/stylus-sdk-rs 仓库在特定 commit 进行了安全审计，发现了 36 个问题，包括严重、高、中、低风险问题。审计范围涵盖 stylus-proc, stylus-sdk, examples, mini-alloc 目录下的多个文件。审计结果表明该项目尚处于开发阶段，但团队积极解决问题，建议在问题解决和项目成熟后进行后续审计。