
慢雾:《Solana 智能合约安全最佳实践》全面更新
来源:慢雾科技
原文链接:https://mp.weixin.qq.com/s/hIaAzTRMlsKshdPaByYhrw
区块链技术的发展日新月异,智能合约作为去中心化应用的核心组成部分,其安全性依然是各大公链生态发展的基石。Solana 作为近年来脱颖而出的高性能公链,其快速的交易处理能力与创新的技术架构为生态带来了巨大潜力,但也伴随着一系列新的安全挑战,尤其是在账户管理、合约执行和状态更新等方面,给恶意攻击者带来了更多的攻击点。
自 2021 年《Solana 智能合约安全最佳实践》发布以来,获得了社区的积极反馈。许多开发者、安全研究员对该手册表示认可和推荐:
随着 Solana 生态的不断发展与新型漏洞的出现,我们对原有的实践进行了更新和补充,旨在为开发者提供更为全面的安全防护指引。
更新要点概览
此次更新的《Solana 智能合约安全最佳实践》基于慢雾(SlowMist) 最新的审计经验,详细总结了 Solana 智能合约中常见的安全问题和解决方案,涵盖了漏洞描述、利用场景、修复建议等多个维度,旨在为开发者提供一站式的安全参考与操作指南。
以下为《Solana 智能合约安全最佳实践》最新版的目录:
-
Solana 智能合约常见问题
-
数值溢出
-
算术精度误差
-
未对返回错误进行处理
-
缺少对初始化函数的权限控制
-
Account Owner 未检查
-
PDA 账户检查
-
未对账户是否签名进行校验
-
缺少对 system account 的检查
-
缺少对 lamports 的检查
-
Pyth 预言机检查
-
及时状态重置
-
利用 Anchor 框架的攻击
-
签名者授权
-
账户数据匹配
-
所有者检查
-
类型伪装 cosplay
-
初始化检查
-
任意 CPI
-
重复的可变账户
-
碰撞种子规范化
-
PDA 共享
-
关闭账户
-
Sysvar 地址检查
-
账户重新加载
-
案例分析
-
Sysvar 系统账号未检查
-
漏洞示例
-
防御代码
-
使用 PDA 账户但是未对调用执行者账户与收益者账户进行检查
-
漏洞示例
-
防御代码
该手册将持续更新,欢迎开发者、审计人员与安全专家前往 GitHub 查阅 (https://github.com/slowmist/solana-smart-contract-security-best-practices),共同提升 Solana 生态的安全性。
安全贯穿始终
根据慢雾(SlowMist) 区块链被黑事件档案库 (hacked.slowmist.io) 的统计,截至目前,全球范围内发生了 1,875 起区块链安全事件,导致损失总额超过 358 亿美元,其中有 305 起事件与智能合约漏洞直接相关。如果合约上线前缺乏系统化的安全检查,极有可能暴露于高风险中。
慢雾(SlowMist) 多年的审计经验表明,智能合约的安全保障不应仅依赖一次性审计或漏洞修复,更应建立在持续审计和动态防护的体系上。因为随着时间的推移,安全环境可能会发生变化,新的漏洞与攻击方式也会不断出现。因此,保障智能合约安全需要从以下几个方面着手:
-
安全预算的合理投入:在项目生命周期中确保安全预算的持续投入;
-
持续审计与检测:定期进行智能合约的安全审计与漏洞修复;
-
高层管理责任制:将安全责任落实到项目高层,确保审计工作得到足够重视与支持。
结语
慢雾安全团队在智能合约安全审计领域里深耕多年,已全面支持 Solana 生态的智能合约安全审计服务,涵盖 Solana 上多个核心项目,如 Particle Network、UniPassID、Crema Finance、Solyard.Finance、Larix 等。此外,慢雾(SlowMist) 自研的安全系统 Badwhale 也已支持 Solana 生态中的假充值检测与风控联动,帮助平台防范链上欺诈和攻击。如有审计需求,欢迎与我们联系!
比推快讯
更多 >>- SBF 现身旧金山热卖讽刺音乐剧,角色嘲讽硅谷文化
- OKX 宣布正式进入德国和波兰市场
- 山寨币季节指数降至 24
- 机构:美联储将继续关注数据,强调不确定性
- Moonbeam 团队发布新项目 DataHaven 代币经济学:无 VC;50%分配给社区
- The Blockchain Group 增资约 720 万欧元以推进其比特币储备公司战略
- Plasma:存款上限将不再提高,总上限为 10 亿美元
- 加密市场贪婪情绪升温,今日恐慌与贪婪指数为 68
- 以色列官员:特朗普没有向以色列施压,要求其停止对伊朗的军事行动
- 以色列驻莫斯科大使:以色列希望在谈判前摧毁伊朗核设施
- BitMEX 创始人 Arthur Hayes 警告:新稳定币 IPO 如同“烫手山芋”
- 分析师:比特币接近 11 万美元时部分投资者可能获利了结,从而引发短期回调
- 数据:某巨鲸卖出 269 万枚 ONDO,获利 12.3 万美元
- 韩国法院判决 Haru Invest 高管欺诈无罪,强调不影响民事赔偿责任
- 市场消息:特朗普今日将召开紧急会议,讨论美国在中东局势中的立场
- Interactive Strength 完成 5500 万美元初始投资,启动加密财库策略并开始收购 FET
- SolvBTC Vault 正式上线,BTC 生态的 AI 收益登陆 Sei
- Haru Invest CEO 被判无罪,摆脱 6.5 亿美元诈骗指控
- 数据:USDC Treasury 于 Solana 上销毁超 6900 万枚 USDC
- Matrixport 关联地址向币安存入 1.23 万枚 ETH,价值约 3180 万美元
- 对前美联储内部人士进行的一项新调查显示,利率前景趋于温和保守
- Infini 暂停所有卡服务,开卡费将在 10 个工作日内退回账户
- Infini 宣布停止 Infini Card 服务,核心账户功能不受影响
- 日本央行:全球贸易政策的未来走向极不确定
- 数字身份项目 Humanity 上线 Android,支持手掌扫描验证
- 德州比特币储备法案周日迎最后期限,州长不作为将自动生效
- 日本央行维持利率不变
- 日本央行:将减少每月购买国债规模,预计 2027 年 1 月至 3 月的购买总额将约为 2 万亿日元
- 疑似 Marathon 地址向 Binance 存入 790 枚 BTC,约 8464 万美元
- Binance Alpha 日交易量持续下降,昨日降至 7.49 亿美元
- Paradigm 呼吁陪审团谨慎裁定 Tornado Cash 案
- RootData:SOSO 将于一周后解锁价值约 349 万美元的代币
- James Wynn:若发生黑天鹅事件,将投入所有资金进行布局
- 特朗普团队提议本周与伊朗就核协议、停火进行谈判
- Glassnode:比特币 25 Delta Skew 翻转,显示强风险厌恶情绪
- SEC 与 Ripple 共同请求上诉法院继续暂停审理,待地方法院裁定
- Gate Alpha 昨日交易量排名前三的币种:AURA、SHYGUY、FARTCAT
- SRM 启动 TRX 战略储备后宣布人事变动,Weike Sun 就任董事会主席
- 美国总统特朗普已指示其团队成员尽快与伊朗方面会面
- Ark Invest 减持 5170 万美元 Circle 股票,股价创 151 美元新高
- 机器人智能平台 PrismaX 完成 1100 万美元种子轮融资,a16z 领投
- R2 首轮测试网结束累计 29 万用户参与,最终测试网将于 6 月 23 日启动
- OpenAI 希望微软在重组后的部门中拥有约 33% 的股份,以换取其放弃未来利润分配权
- Hash Epoch 公布 Token 发行计划,白名单分配完成,IDO 即将启动
- A 股稳定币概念反复活跃,多股大幅上涨
- Dragonfly 管理合伙人:每个周期创始人都会追逐“热钱”,本周期是将代币带入股票市场
- 某鲸鱼沉寂近 2 年后以 2577 美元均价抛售 1500 枚 ETH
- 蚂蚁国际首份可持续发展报告:加大投资加密科技应用,区块链平台处理超 1/3 全球交易
- Coinbase CEO :在伦敦会晤政策制定者,看好英国加密行业发展前景
- 高盛:日本央行将继续按兵不动,下次加息在明年 1 月
比推专栏
更多 >>观点
比推热门文章
- 山寨币季节指数降至 24
- 机构:美联储将继续关注数据,强调不确定性
- Moonbeam 团队发布新项目 DataHaven 代币经济学:无 VC;50%分配给社区
- The Blockchain Group 增资约 720 万欧元以推进其比特币储备公司战略
- Plasma:存款上限将不再提高,总上限为 10 亿美元
- 加密市场贪婪情绪升温,今日恐慌与贪婪指数为 68
- 监管转暖,机会涌现:三大DeFi赛道迎来布局窗口
- 以色列官员:特朗普没有向以色列施压,要求其停止对伊朗的军事行动
- 以色列驻莫斯科大使:以色列希望在谈判前摧毁伊朗核设施
- BitMEX 创始人 Arthur Hayes 警告:新稳定币 IPO 如同“烫手山芋”