漏洞

本文主要讨论了智能合约审计报告的重要性以及如何编写高质量的审计报告。强调了审计报告不仅要列出漏洞，还要讲述系统如何工作、在哪里出现问题以及如何修复。文章还分享了编写审计报告的实用经验，包括报告的结构、内容要点以及如何清晰地表达技术细节。

白帽黑客Dmitri Tsumak发现RocketPool和Lido Finance的漏洞，该漏洞允许节点运营者窃取用户存款。Dmitri Tsumak 通过 Immunefi 向 RocketPool 和 Lido 提交漏洞报告，并获得了总计 20 万美元的漏洞赏金。文章分析了漏洞的原理，以及以太坊POS机制下，第三方Staking池的攻击向量。

本文介绍了以太坊智能合约的安全最佳实践，包括进行智能合约审计、测试代码、同行代码审查、降低软件复杂性、实施故障保护以及设计安全访问控制机制。此外，还介绍了四种智能合约安全工具，帮助开发者保护智能合约免受漏洞利用。

Rekt Test 是由 Web3 安全专家创建的，旨在帮助区块链开发者客观评估其安全状况和衡量进展的简单测试，该测试通过12个问题，涵盖了角色权限文档、外部依赖文档、事件响应计划、攻击方式记录、身份验证、安全负责人、硬件密钥、密钥管理、不变量测试、自动化工具、外部审计与漏洞披露、用户滥用防范等方面。旨在促进区块链社区对安全问题的有意义的讨论。

该文章提出了一个关于模糊测试以太坊网络 (devp2p) 的项目，旨在通过创建模糊器来发现潜在的漏洞。该项目计划使用 Go 语言，并基于 Geth 客户端修改其 devp2p 实现，以发送恶意消息。目标是测试网络升级和客户端的 devp2p 实现，从而发现可能导致崩溃、内存泄漏等问题，并最终提高以太坊网络的安全性。

Cyfrin 发布了 2025 年 6 月的区块链安全与教育新闻简报，内容涵盖 Updraft 新课程、DeFi 重大漏洞、高级模糊测试见解以及实用的 Web3 安全技巧。

本文介绍了Open Source Technology Improvement Fund (OSTIF) 与 Trail of Bits 合作进行的一系列开源项目的安全审计和威胁建模工作，包括Linux kernel release signing、CloudEvents、curl、KEDA、Eclipse Mosquitto、Eclipse Jetty、Eclipse JKube、Flux 和 Dragonfly。

Trail of Bits 团队通过对 cURL 命令行接口（CLI）进行模糊测试，发现了多个内存损坏漏洞，包括 use-after-free、double-free 和内存泄漏。

本周发生了多起安全事件，Resupply和Silo Finance损失惨重，攻击源于常见的漏洞，即利用空市场的舍入误差来铸造过多的协议代币。此外，MEV机器人的访问控制不足和函数参数验证不严也导致了损失。文章还提到了Unphishable项目，旨在帮助用户识别和避免常见的Web3网络钓鱼攻击。

本文介绍了智能合约审计领域中一些顶级审计师的收入情况，包括Trust、Pashov、Owen Thurm和CMichel。这些审计师通过智能合约审计、安全咨询、漏洞赏金等方式获得了可观的收入，表明智能合约审计是区块链生态系统中一个重要的且经济回报丰厚的职业道路。

本文探讨了区块链基础设施安全的重要性，解释了它与智能合约安全的不同之处，并提供了一些针对区块链基础设施进行安全审计的实用方法。文章强调了基础设施审计需要关注的组件及其潜在风险，例如验证节点、数据可用性层、执行客户端和P2P网络，以及如何采用系统性的方法来识别和缓解这些风险，确保区块链网络的整体安全。

本文介绍了以太坊开发框架Foundry中的Fuzz测试技术。Fuzz测试通过生成大量随机输入来测试智能合约在各种条件下的行为，帮助开发者发现边界情况和潜在安全漏洞。文章通过一个简单的存款和取款智能合约示例，展示了如何在Foundry中实现Fuzz测试。

OpenZeppelin 对 ink! 和 cargo-contract 进行了安全评估，未发现严重问题，但发现了两个高危问题，Parity 团队正在解决。

本次是对MerkleDB的预生产使用的代码审计，发现了一个高危漏洞，即能够为Trie中存在的键生成有效的排除证明。此外，还发现了一些低危漏洞和信息性问题，例如RecordKeyChange忽略ErrorNotFound、addPathInfo函数可能使用错误的压缩键等。代码质量总体较高，但在实际生产环境中仍需进行更广泛的测试。

本文详细介绍了智能合约安全审计的重要性、流程、用例、常见漏洞、工具和最佳实践。强调了在区块链应用中进行安全审计的关键性，以防止潜在的漏洞利用和资产损失，并提供了智能合约开发和审计的最佳实践。