漏洞

这篇文章详细阐述了Web3安全审计员的职业路径与必要技能，为没有编码背景的读者提供了入门的 roadmap。文章强调了Web3安全的重要性、可观的收入潜力以及如何通过逐步学习与实践来实现这一职业目标。通过各种学习资源和实践机会，读者可逐步掌握必要的技能，迈向成功的Web3审计师之路。

本文揭示了在Solana官方stake-pool程序中发现的语义不一致性漏洞，并讨论了漏洞的性质、发现过程及其利用方式。文章详细介绍了带来的风险及安全审计的重要性，强调需要更全面的审计流程。

文章详细介绍了Optimism协议中的一个关键漏洞，该漏洞使攻击者能够通过自毁合约（selfdestruct）无限制地复制OETH（Optimism的ETH表示）。作者讨论了漏洞的原因、影响及其修复过程，强调了安全意识在区块链项目中的重要性。文章结构清晰，包括对L2解决方案的简介、漏洞分析及修复等内容，适合对区块链技术感兴趣的读者。

Mobius项目由于智能合约中的一个漏洞，攻击者通过该漏洞增发了价值215万美元的MBU代币。该漏洞位于deposit函数中，计算代币数量时的一个乘法运算缺少了除以10^18的步骤，导致攻击者能够铸造天文数字般的代币。攻击者利用此漏洞，从零地址铸造了大量的MBU，并通过一系列操作将资金转移。

本文分析了审计竞赛平台常见的营销误导策略，包括虚报提交指标、参与人数、排他性承诺、顾问审计师参与、社交媒体互动、匿名评价以及个体审计对比。文章建议在选择审计竞赛平台时，关注透明度、沟通和有效指标，并提出了一系列问题，帮助读者识别并避免这些误导，从而选择真正能提高代码安全性的平台。

本文列出了五个顶尖的智能合约审计和安全课程，旨在帮助有志成为智能合约审计师或提升其Web3开发技能的人员。这些课程涵盖了各种审计和安全主题，都是业内专家设计，并提供了丰富的学习资源和实用技能。

文章讲述了 Notional Finance 系统中出现的一个漏洞，该漏洞由于不正确的形式化验证不变量导致。原本旨在防止资产重复的错误不变量实际上是空洞的，无法发现漏洞。随后通过更正后的简单不变量成功检测到该漏洞，并提出了改进规范安全性的措施，包括审计规范、漏洞赏金、技术检查和集成测试工具，以提高代码安全性和规范的准确性。

白帽黑客Dmitri Tsumak发现RocketPool和Lido Finance的漏洞，该漏洞允许节点运营者窃取用户存款。Dmitri Tsumak 通过 Immunefi 向 RocketPool 和 Lido 提交漏洞报告，并获得了总计 20 万美元的漏洞赏金。文章分析了漏洞的原理，以及以太坊POS机制下，第三方Staking池的攻击向量。

本文介绍了以太坊智能合约的安全最佳实践，包括进行智能合约审计、测试代码、同行代码审查、降低软件复杂性、实施故障保护以及设计安全访问控制机制。此外，还介绍了四种智能合约安全工具，帮助开发者保护智能合约免受漏洞利用。

该文章提出了一个关于模糊测试以太坊网络 (devp2p) 的项目，旨在通过创建模糊器来发现潜在的漏洞。该项目计划使用 Go 语言，并基于 Geth 客户端修改其 devp2p 实现，以发送恶意消息。目标是测试网络升级和客户端的 devp2p 实现，从而发现可能导致崩溃、内存泄漏等问题，并最终提高以太坊网络的安全性。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

本文介绍了以太坊开发框架Foundry中的Fuzz测试技术。Fuzz测试通过生成大量随机输入来测试智能合约在各种条件下的行为，帮助开发者发现边界情况和潜在安全漏洞。文章通过一个简单的存款和取款智能合约示例，展示了如何在Foundry中实现Fuzz测试。

OpenZeppelin 对 ink! 和 cargo-contract 进行了安全评估，未发现严重问题，但发现了两个高危问题，Parity 团队正在解决。

本次是对MerkleDB的预生产使用的代码审计，发现了一个高危漏洞，即能够为Trie中存在的键生成有效的排除证明。此外，还发现了一些低危漏洞和信息性问题，例如RecordKeyChange忽略ErrorNotFound、addPathInfo函数可能使用错误的压缩键等。代码质量总体较高，但在实际生产环境中仍需进行更广泛的测试。

本文探讨了Nomad桥的漏洞及其被黑的原因，强调了未审计代码带来的安全风险，并介绍了一项新工具——审计覆盖追踪器，该工具旨在提供DeFi协议代码的审计状态信息，从而帮助开发者和用户避免类似的安全问题。