🛡️ Web3 安全审计
智能合约漏洞防护
📘 30 章 · 从基础到未来
🧪 实战 + 审计
⚡ 友好色系
1
Web3安全基础
🔐
区块链安全模型 · 智能合约生命周期 · 常见攻击面概览
2
Solidity安全编码规范
📝
变量作用域 · 可见性修饰符 · 函数修饰符最佳实践
3
重入攻击 (Reentrancy)
🌀
原理剖析 · 经典DAO攻击 · 检查-生效-交互模式
4
整数溢出漏洞
➕
Solidity 0.8+内置检查 · SafeMath · 实际溢出场景
5
访问控制漏洞
🔑
Ownable · RBAC · tx.origin与msg.sender区别
6
前端攻击与签名安全
✍️
钓鱼攻击 · Permit签名滥用 · EIP-712结构化验证
7
闪电贷攻击
⚡
原理 · 价格操纵/清算攻击 · 防御策略
8
预言机操纵
📡
价格源选择 · TWAP · Chainlink安全使用
9
时间戳依赖
⏰
区块时间操纵 · 随机数漏洞 · 替代方案
10
Gas相关漏洞
⛽
Gas耗尽攻击 · 循环消耗 · 动态优化
11
委托调用 (delegatecall) 风险
🔗
存储布局冲突 · 代理漏洞 · UUPS与透明代理
12
自毁函数 (selfdestruct) 滥用
💥
强制发送ETH · 合约销毁安全隐患
13
未初始化存储指针
📌
结构体/映射指针默认行为 · Slot分配错误
14
拒绝服务 (DoS) 攻击
🚫
循环外部调用 · Gas限制 · 不可退出机制
15
前端运行 (Front-running)
🏃
Mempool监控 · 抢跑交易 · Commit-Reveal方案
16
闪电贷与DeFi组合风险
🌊
多协议交互 · 滑点设置 · 清算漏洞
17
跨链桥安全
🌉
验证者攻击 · 中继器漏洞 · Merkle证明验证
18
NFT合约安全
🖼️
ERC-721/1155陷阱 · 元数据冻结 · Royalty支付
19
治理合约安全
🗳️
投票权重 · 提案延迟 · 闪电贷治理攻击
20
代理合约与升级模式
🔄
透明代理 · UUPS · Beacon模式选择与风险
21
事件日志伪造
📋
事件索引 · 链下监听安全 · 日志注入
22
ABI编码漏洞
🧩
encodePacked哈希碰撞 · 类型混淆 · calldata验证
23
随机数生成漏洞
🎲
链上随机数局限 · VRF可验证随机函数
24
权限提升与后门
🚪
管理员特权 · 时间锁绕过 · 紧急暂停滥用
25
经济模型审计
💰
代币经济设计 · 通胀/通缩 · 质押奖励计算
26
形式化验证入门
✅
SMT求解器 · Slither静态分析 · Certora Prover
27
审计工具链
🛠️
Foundry测试 · Hardhat调试 · Echidna模糊测试
28
审计报告撰写
📄
漏洞分级 · POC编写 · 修复建议
29
DeFi深度审计案例
🔍
Uniswap V3 · Compound · MakerDAO经典漏洞
30
Web3安全未来趋势
🚀
ZK证明安全 · 账户抽象ERC-4337 · MEV防护