
慢雾:《Solana 智能合约安全最佳实践》全面更新
来源:慢雾科技
原文链接:https://mp.weixin.qq.com/s/hIaAzTRMlsKshdPaByYhrw
区块链技术的发展日新月异,智能合约作为去中心化应用的核心组成部分,其安全性依然是各大公链生态发展的基石。Solana 作为近年来脱颖而出的高性能公链,其快速的交易处理能力与创新的技术架构为生态带来了巨大潜力,但也伴随着一系列新的安全挑战,尤其是在账户管理、合约执行和状态更新等方面,给恶意攻击者带来了更多的攻击点。
自 2021 年《Solana 智能合约安全最佳实践》发布以来,获得了社区的积极反馈。许多开发者、安全研究员对该手册表示认可和推荐:
随着 Solana 生态的不断发展与新型漏洞的出现,我们对原有的实践进行了更新和补充,旨在为开发者提供更为全面的安全防护指引。
更新要点概览
此次更新的《Solana 智能合约安全最佳实践》基于慢雾(SlowMist) 最新的审计经验,详细总结了 Solana 智能合约中常见的安全问题和解决方案,涵盖了漏洞描述、利用场景、修复建议等多个维度,旨在为开发者提供一站式的安全参考与操作指南。
以下为《Solana 智能合约安全最佳实践》最新版的目录:
-
Solana 智能合约常见问题
-
数值溢出
-
算术精度误差
-
未对返回错误进行处理
-
缺少对初始化函数的权限控制
-
Account Owner 未检查
-
PDA 账户检查
-
未对账户是否签名进行校验
-
缺少对 system account 的检查
-
缺少对 lamports 的检查
-
Pyth 预言机检查
-
及时状态重置
-
利用 Anchor 框架的攻击
-
签名者授权
-
账户数据匹配
-
所有者检查
-
类型伪装 cosplay
-
初始化检查
-
任意 CPI
-
重复的可变账户
-
碰撞种子规范化
-
PDA 共享
-
关闭账户
-
Sysvar 地址检查
-
账户重新加载
-
案例分析
-
Sysvar 系统账号未检查
-
漏洞示例
-
防御代码
-
使用 PDA 账户但是未对调用执行者账户与收益者账户进行检查
-
漏洞示例
-
防御代码
该手册将持续更新,欢迎开发者、审计人员与安全专家前往 GitHub 查阅 (https://github.com/slowmist/solana-smart-contract-security-best-practices),共同提升 Solana 生态的安全性。
安全贯穿始终
根据慢雾(SlowMist) 区块链被黑事件档案库 (hacked.slowmist.io) 的统计,截至目前,全球范围内发生了 1,875 起区块链安全事件,导致损失总额超过 358 亿美元,其中有 305 起事件与智能合约漏洞直接相关。如果合约上线前缺乏系统化的安全检查,极有可能暴露于高风险中。
慢雾(SlowMist) 多年的审计经验表明,智能合约的安全保障不应仅依赖一次性审计或漏洞修复,更应建立在持续审计和动态防护的体系上。因为随着时间的推移,安全环境可能会发生变化,新的漏洞与攻击方式也会不断出现。因此,保障智能合约安全需要从以下几个方面着手:
-
安全预算的合理投入:在项目生命周期中确保安全预算的持续投入;
-
持续审计与检测:定期进行智能合约的安全审计与漏洞修复;
-
高层管理责任制:将安全责任落实到项目高层,确保审计工作得到足够重视与支持。
结语
慢雾安全团队在智能合约安全审计领域里深耕多年,已全面支持 Solana 生态的智能合约安全审计服务,涵盖 Solana 上多个核心项目,如 Particle Network、UniPassID、Crema Finance、Solyard.Finance、Larix 等。此外,慢雾(SlowMist) 自研的安全系统 Badwhale 也已支持 Solana 生态中的假充值检测与风控联动,帮助平台防范链上欺诈和攻击。如有审计需求,欢迎与我们联系!
比推快讯
更多 >>- 欧洲央行管委穆勒:七月份无需调整利率
- 特朗普:“大而美法案”释放经济增长
- 韩国解除长达 14 年的“泡菜债券”禁令以吸引对冲性资本流入
- 美股上市公司 NIP Group 宣布进军比特币挖矿领域
- TD Cowen:维持 Strategy 的“买入”评级
- 摩根大通:6 月比特币网络月均算力下降约 3%,或因热浪影响矿工调整运营所致
- 分析:比特币若“复制”美股走势 7 月或将创下历史新高
- 美国财长贝森特:或许美联储已等待太久才开始降息
- Prometheum Capital 获批为区块链证券交易提供代理清算服务
- 美国财长贝森特:今日推进“大而美法案”的表决
- BiyaPay 分析师:加密概念股接连暴涨,BiyaPay 助力用户 USDT 交易美股港股
- 分析:比特币 200 周均线接近 5 万美元,长期看涨信号显现
- 新加坡已收紧加密货币交易监管措施
- 某鲸鱼提取 20 万枚 TRUMP 代币,价值 174 万美元
- 美股盘前 BMNR 涨幅扩大至 50.1%
- Binance 新一期 Alpha(BGSC)空投数据:30%账户已卖出,单号收益约 57 美元
- 某鲸鱼向 Hyperliquid 存入 101 万美元 USDC 并开设 5 倍 GRASS 多单仓位
- Michael Saylor:Strategy 第二季度实现 7.8%的比特币收益率
- MAV 团队关联地址向 CEX 存入 8100 万枚代币,价值约 599 万美元
- Kaito Al :很快将把加密相关股票添加到 Kaito Pro 上的心智份额热图中
- Greeks.live:链上 BTC 10.5 万美元附近筹码集中度已达 15%
- Pantera Capital 推出数字资产储备基金,正向投资者开放
- 彭博社:德意志银行计划于 2026 年推出加密货币托管服务
- Glassnode 报告:Bybit 历经 Lazarus 黑客攻击“压力测试”,成功铸造韧性标杆
- 特朗普 DOGE 部门提议关注美国证交会的政策,包括特殊目的收购公司和私募基金规则
- 美国参议院以 46-54 票数否决《反加密货币腐败修正案》
- 特朗普二儿子暗示可能竞选美国总统
- HTX DeepThink:美关税到期临近,加密交易量连降,宏观不确定性加剧
- 欧央行管委:任何进一步的降息幅度都将很有限
- Paxos 遵循 MiCA 框架面向欧盟用户推出稳定币 USDG
- 黑猫宇宙(Blackcats Universe)宣布已完成 300 万美元融资
- 新大陆:设立境外子公司并取得美国 MSB 牌照,覆盖数字货币交易等场景
- 美股上市公司 Thumzup Media 宣布完成 650 万美元注册直接发行
- 美股加密货币概念股盘前涨跌不一,Circle 涨 1.73%
- 加密交易平台 Swyftx 将收购数字资产经纪公司 Caleb & Brown,交易价格约 6580 万美元
- Maverick Protocol 代币(MAV)24 小时涨幅达 82.16%
- Bitget Launchpool 项目 FRAG 现已开放投入
- Aave 创始人:Aave Labs 正在扩充业务拓展团队
- 比特币波动率回落至 1.59%
- DAOStack 团队新项目 xStocks 与 Kraken、Bybit 等交易所达成合作
- 不丹国王会见 Binance CEO,不丹系全球第三大比特币国家级持有者
- 高盛提前调降美联储降息预期至9月,"大而美"法案投票成关键节点
- 澳大利亚 Monochrome 现货比特币 ETF 的 BTC 持仓升至 931 枚
- 美参议院投票从特朗普税改法案中删除 AI 监管禁令
- FATF 警示稳定币犯罪风险,行业称并非反加密立场
- 蜂助手:公司当前暂未制定申报虚拟资产交易相关牌照的具体计划
- 以太坊基金会近期每日转移 1000 枚 ETH 至多签钱包,已累计转移 1.3 万枚 ETH
- JustLend DAO 用户存款规模达 38.5 亿美元,借款总额达 1.777 亿美元
- USDD 2.0 第六阶段供应挖矿首周奖励发放
- Gate Alpha 昨日交易量排名前三的币种:BR、EGL1、MGO
比推专栏
更多 >>观点
比推热门文章
- 分析:比特币 200 周均线接近 5 万美元,长期看涨信号显现
- 新加坡已收紧加密货币交易监管措施
- 某鲸鱼提取 20 万枚 TRUMP 代币,价值 174 万美元
- 美股盘前 BMNR 涨幅扩大至 50.1%
- Binance 新一期 Alpha(BGSC)空投数据:30%账户已卖出,单号收益约 57 美元
- 某鲸鱼向 Hyperliquid 存入 101 万美元 USDC 并开设 5 倍 GRASS 多单仓位
- Michael Saylor:Strategy 第二季度实现 7.8%的比特币收益率
- MAV 团队关联地址向 CEX 存入 8100 万枚代币,价值约 599 万美元
- Kaito Al :很快将把加密相关股票添加到 Kaito Pro 上的心智份额热图中
- Greeks.live:链上 BTC 10.5 万美元附近筹码集中度已达 15%