- 博客(110)
- 收藏
- 关注
RSS订阅原创 第 12 章(番外)| Solidity 安全前沿趋势 × 审计生态 × 职业路径规划
你完成了:✅ Solidity 安全机制的系统学习✅ 常见攻击路径的原理剖析与复现✅ 工具链与 CI/CD 的实战应用✅ 项目从合约 → 前端 → 部署上线全流程✅ 职业规划与实战路径的展望你已经不再是一个“只会写合约”的开发者,你是一个懂代码、懂攻击、懂架构、懂交付的 Web3 安全工程师。
2025-03-26 13:40:29
888
原创 第 11 章 | 结课项目实战:从合约设计到前端部署的完整 DApp 安全流程
你已经掌握了:合约开发的核心语法各类典型攻击原理与防御方式工具链的使用与审计流程部署、验证、前端对接的安全规范。
2025-03-26 13:37:49
869
原创 第 10 章 | DeFi × DAO × GameFi 攻防实战全解析
部署恶意合约构造提案指向恶意合约的 callflashloan 借出大量 token → 获取投票权快速提案 + 快速投票 + 执行(没有 Timelock)合约资金全部转出合约业务逻辑的漏洞远比技术漏洞更隐蔽DeFi 要保护资金池 / DAO 要防治理劫持 / GameFi 要控 bot 滥用所有“链上经济行为”都需要“链上防护机制”对冲审计者要思考“攻击者是否能不走正门拿到奖励?
2025-03-26 13:33:29
737
原创 第 9 章 | Solidity 合约 × 前端交互安全指南
approve()合约安全 ≠ 前端交互安全,用户点击的每一个按钮,可能都通向危险授权逻辑、签名消息、合约地址、ABI、链 ID,这些都必须明确验证推荐使用结构化签名(EIP-712)+ 后端验签 + 多链地址控制体系。
2025-03-26 01:08:46
678
原创 第 8 章 | Solidity 合约部署与 Etherscan 验证全流程指南
检查项是否通过是否使用安全私钥(硬件钱包 / 私钥加密)?✅/❌合约是否添加权限控制(mint/upgrade/pause)?✅/❌Proxy 合约是否正确指向逻辑合约?✅/❌是否调用初始化函数?是否使用 initializer?✅/❌是否已完成合约源码验证?✅/❌是否跑过 Gas / 安全 / 回归测试?✅/❌是否记录部署 hash + block + verify link?✅/❌合约部署不是简单 broadcast,而是一次链上不可逆操作。
2025-03-26 00:48:57
549
原创 第 7 章 | Solidity 合约安全工具全指南:Slither、Echidna、Foundry 实战解析
由 Trail of Bits 开发,最权威的 Solidity 静态分析工具。能一键检测出:Reentrancy 风险错误权限控制Unused code / 可疑逻辑delegatecall 风险call/tx.origin 滥用Storage layout 错误等自动+随机+持续调用函数,寻找「你没想到的极限条件」模拟黑客不停试错调用查找逻辑缺陷、断言不成立、状态错误类似“链上安全保险带”工具特点用于Slither快速发现已知漏洞、调用图分析项目上线前、CI 集成。
2025-03-26 00:36:40
1044
原创 第 6 章 | 区块链预言机操控与闪电贷攻击全解析
在链上,合约无法直接访问外部数据。预言机是合约与链下世界之间的“信息桥梁”,提供价格、随机数、天气、体育等数据。攻击者通过控制合约信赖的价格来源,使其价格“偏离真实市场”,从而触发清算、获取奖励或偷走抵押品。预言机攻击 = 链上最大隐性杀手,任何合约用到了资产价格,都必须进行价格源审计闪电贷让攻击者可以“零本放大影响”,是攻击效率最大化的催化剂最优解 = Chainlink + TWAP + 限幅保护 + 多价格源对比所有清算/估值/奖励逻辑中使用的价格,都不能直接来自链上池。
2025-03-26 00:25:03
684
原创 第 5 章 | Solidity 合约中的整数溢出与精度陷阱全解析
Solidity 使用固定大小的整数类型,如uint256溢出(Overflow):变量加法超过最大值 → 回绕成 0下溢(Underflow):减法减出负数(uint 无法表示) → 回绕成最大值Solidity 没有浮点数,所有比例运算都要手动模拟0.8+ 自动检查溢出已提高安全,但不是万能只能用于确定不会出错、且性能敏感的逻辑精度管理 = 财务安全的第一步,不能凭经验猜。
2025-03-26 00:11:37
916
原创 第 4 章 | Solidity安全 权限控制漏洞全解析
权限问题往往不是“没写权限”,而是“写错权限”所有修改合约状态、资产流动的函数都需要权限审计安全的权限系统 = 限权 + 分权 + 可撤权 + 可升级。
2025-03-25 21:04:09
765
原创 第 3 章 | 重入攻击 Reentrancy 全解析
当合约向外部账户(如)发送 ETH 或调用函数时,如果对方是合约并在其fallback()或receive()中再次调用原合约未锁定函数,就可以反复“插入执行”造成逻辑错误。防御方式安全性性能易用性推荐场景CEI 模式✅✅✅✅✅✅✅✅通用所有外部 call 合约✅✅✅✅✅✅多人协作开发、大型协议✅✅✅✅✅✅分红、奖励类、提现类逻辑。
2025-03-25 20:03:41
752
原创 第 2 章 | 智能合约攻击图谱全景解析
所有攻击行为,均可归类为 7 大路径每类攻击都有其“漏洞模式” + “触发机制” + “利用路径”审计者不是死盯语法,而是系统构建“攻击地图”+“风险断点链”后续章节将逐一拆解每类攻击,配合复现合约、修复对比、Gas 成本分析。
2025-03-25 20:00:25
1030
原创 第 1 章 | 开篇词:Dapp安全 区块链安全 Web3安全 区块链合约一旦部署,安全就是生死线
我们在写的 Solidity 合约,其实不是“代码”,而是,甚至是这不是开玩笑——,Curve 损失 6000 万美金,bZx 两次被黑,超 5000 万资产蒸发,The DAO 几乎摧毁了整个以太坊生态,Mango Markets 被拉爆上亿美元资产你在链上部署的每一段 Solidity 合约,都可能被 1000 台 bot、10 个审计员、无数黑客同时盯着——
2025-03-25 19:11:42
1258
原创 Solidity 番外篇 | 最新 EIP 动态、Solidity 版本变化、Web3 职业路径全览
以太坊改进提案(Ethereum Improvement Proposal)决定以太坊网络发展方向、标准、核心机制和 ERC 标准(如 ERC20, ERC721)一样,都是 EIP 的子集。
2025-03-25 18:38:28
915
原创 第十五章 | Layer2、Rollup 与 ZK 技术实战解析
提高吞吐量(TPS)降低交易成本提升用户体验用户数据不暴露只提交 ZK 证明,证明结果合法即可使用 Noir / Circom 等 DSL 编写电路逻辑zkSync 团队开发的 zk 电路语言语法类似 Rust支持开发 zkVoting、匿名支付等隐私合约。
2025-03-25 18:32:42
936
原创 第十三章 | Hardhat + Foundry 测试与自动化部署实战
📚 第十三章 | Hardhat + Foundry 测试与自动化部署实战。
2025-03-24 11:11:39
543
原创 第十章 | Solidity 智能合约安全必修课
函数执行中,外部调用未返回前,恶意合约递归重新进入函数,导致状态未更新,反复操作非法提取资产。
2025-03-23 16:11:00
1018
原创 第七章 | Solidity 合约继承与接口全面讲解
继承允许一个合约重用另一个合约的逻辑代码,提高复用性、简化代码结构。Solidity 支持单继承和多继承。抽象合约不能直接部署至少包含一个没有实现的函数(无函数体)类似“模板”或“接口+部分实现”只能声明函数和事件不能有状态变量、构造函数、函数实现用于标准化合约交互(如 ERC20、ERC721)
2025-03-23 15:59:43
648
原创 第三章 | 初识 Solidity:开发环境搭建 & 第一个智能合约{介绍篇}
Remix 是以太坊官方在线 IDE,支持 Solidity 智能合约编写、部署和测试。
2025-03-23 15:31:41
874
原创 第二章 | 智能合约 & 区块链基础知识{介绍篇}
简单来说,区块链是一种分布式数据库,但它比传统数据库更强大。👉 EVM 是目前应用最广泛的智能合约平台👉 支持 EVM 的公链生态强大、兼容性高👉 Solidity 一套代码,跑遍多个链(Ethereum、BNB Chain、zkSync、Arbitrum 等)👉 你写好一个合约,能上线无数链,快速参与不同生态项目!
2025-03-23 15:28:04
1076
原创 《Solidity智能合约开发:从零到一实战指南》大纲
智能合约是运行在区块链上的“自动执行程序”,不用依赖中介或第三方,信任直接写进代码里。而 Solidity 是智能合约开发的“通用语言”。
2025-03-23 15:08:57
1372
原创 当开源大模型撬动全球AI格局:DeepSeek的“真香”时刻
DeepSeek的开源逆袭,不只是一次技术路线的胜利,更是AI发展哲学的重大转变。它向世界证明:顶级AI模型不一定需要无穷算力;智能的未来可能藏在算法的极简和工程的精妙中;AGI不再是巨头的专属,而是人人可用的公共基础设施。当中国以“极致性价比+开源共享”组合拳挑战硅谷,全球AI剧本已然改写。未来的AI竞赛,将不再是封锁与围剿,而是生态系统的开放性和应用创新力的较量。
2025-03-23 13:34:36
906
原创 奥林巴斯道Olympus DAO、奥拉丁模式、诺瓦银行、RWA模型合约解析开发
这些合约之间密切协作,共同实现了 Olympus 的核心功能:铸造(Minting)、销毁(Burning)、质押(Staking)、赎回(Bonding)、治理(Governance)。Treasury 是 Olympus DAO 的核心资产管理模块,负责接收抵押资产(如 DAI、FRAX、ETH 等),并决定是否铸造新的 OHM。你可以根据自己的需求微调。Olympus DAO 的治理逻辑主要依赖去中心化自治组织(DAO)模式,用户通过持有和质押 OHM 获取治理权重,参与关键参数的决策。
2025-03-17 13:29:09
1333
原创 什么是sol节点?Solana RPC节点?
Solana节点是指安装并运行Solana区块链软件(Solana客户端)的计算机服务器或机器,它连接到网络中其他节点,帮助维护网络共识、传播交易和区块信息、存储区块链账本,并执行智能合约程序(Program)。共识与验证交易: 节点参与Solana独特的Proof-of-History(历史证明)+ Proof-of-Stake(权益证明)共识,快速确认交易,确保网络安全与稳定。执行智能合约(Program): 节点基于Solana VM(虚拟机)执行链上程序,实现复杂的链上逻辑。
2025-03-15 15:45:50
735
原创 Python自动化脚本:2分钟快速搭建MTProto代理服务(支持多端口负载均衡)
【代码】Python自动化脚本:2分钟快速搭建MTProto代理服务(支持多端口负载均衡)
2025-03-13 14:33:28
229
原创 《Web3.0技术演进方向解读:2025年区块链开发者需掌握的3项核心能力》
如果你正在关注区块链技术的未来,一定不会错过“Solidity”这个关键词。作为以太坊智能合约的核心编程语言,Solidity不仅是DeFi、NFT、DAO等Web3.0生态的底层支撑,更是全球区块链开发者争夺的高地。如何从零开始掌握它?本文将通过代码实战+学习路径拆解,结合个人转型经验,为你提供一份2024年Solidity高效学习指南,助你抓住Web3.0技术红利。其代码结构清晰,与JavaScript高度相似,但强化了安全性与确定性(后文详述差异)。引言:为什么Solidity是Web3.0的基石?
2025-03-13 14:18:16
1080
原创 Solana基础知识参考指南
Solana区块链堪称一款强大利器,能够每秒处理数千笔交易,而且几乎无需支付交易手续费。倘若你是初涉Web3领域的新手,又或是此前在基于EVM的区块链上开展过开发工作,那么这份指南定能助力你理解Solana的基本要素,开启你的Solana开发征程。要是你已然在Solana的基础上进行项目构建,也可将此指南当作参考资料,进一步深化对Solana基础知识的认知。在这份指南里,我们会详细介绍Solana的基础构成部分,具体涵盖:账户、程序、指令、交易、RPC以及订阅。话不多说,让我们正式开启探索之旅!
2025-02-21 16:09:22
610
原创 Deep Sleep 96小时:一场没有硝烟的科技保卫战
代号“Deep Sleep”的服务器突遭海量数据洪流冲击,警报声响彻机房,一场针对中国关键信息基础设施的网络攻击来势汹汹!四家单位组建联合指挥部,信息共享、协同作战,将防御成功率从39%逆袭至91%,最终成功击退网络攻击,捍卫了国家网络安全!,360捕获3,000个仿冒IP,反手给攻击者植入追踪程序,实现了从被动防御到主动反击的华丽转身。,华为5G基站临时改造成算力盾牌,成功扛住第二波定向打击,展现了中国科技的强大韧性!,防御系统崩掉3次,工程师们用物理隔离抢出黄金30秒,为系统重启争取宝贵时间!
2025-02-02 20:37:16
1616
1
原创 深入解析 DeepSeek AI:概念、影响、使用与部署
DeepSeek AI 是一种基于 Transformer 架构的高性能大语言模型,专门用于自然语言处理(NLP)任务。它在庞大的数据集上进行预训练,能够高效处理文本生成、自动翻译、代码生成、问答系统等任务。超大规模参数:拥有数百亿级别的参数,使其具备卓越的语言理解和生成能力。高效推理:优化的模型架构使其推理速度远超传统 NLP 模型。跨领域适应性:可广泛应用于学术研究、企业应用、编程辅助、医疗健康等多个领域。开放性与可扩展性:支持本地部署、云端服务,开发者可通过 API 轻松集成。
2025-02-02 15:56:19
7378
原创 手把手教你DeepSeek 接入微信【喂饭级教程】
最近DeepSeek在全球范围内爆火,不仅因为它价格亲民,更因为它的强大功能和实用性。除了卓越的逻辑推理和编程能力外,它在写作和角色扮演方面的表现同样令人惊艳!那么,如果将DeepSeek接入个人微信,又会带来怎样的全新体验呢?今天就给大家带来一份超详细的教程,手把手教你如何将DeepSeek V3、DeepSeek R1接入个人微信,让它更好地为你所用!我们需要获取点击右上角的 API开放平台,进入DeepSeek的官方API开放平台,充值几块钱即可,然后如果。
2025-02-02 15:28:43
42704
19
原创 如何本地部署DeepSeek?DeepThink R1 本地部署全攻略:零基础小白指南。
部署 DeepThink R1 AI 模型,让你无需联网就能运行强大的 AI 推理任务。下载安装适合你系统的版本(Windows / Mac / Linux)DeepThink R1 需要手动下载并添加到 Ollama。然后输入任何问题,比如:> 9.9 和 9.11 哪个更大?Ollama 是一个轻量级的大语言模型管理工具,支持。虽然终端可以运行 DeepThink R1,但使用。这个命令会自动下载模型,下载速度取决于网络情况。DeepThink R1 会直接给出答案,并展示。
2025-02-02 13:48:58
6218
1
原创 项目包装与设计:打造令人难忘的市场印象
项目的包装与设计不仅是外在的美化,更是内在价值的传递和用户体验的优化。通过创意策划、视觉设计和用户体验的有机结合,可以让项目在竞争激烈的市场中脱颖而出,赢得用户的青睐和信任。在当今信息爆炸的时代,项目的成功不仅依赖于其内在价值,更需要通过出色的包装与设计来吸引眼球、传递价值并建立信任。通过设计传递情感共鸣,例如使用温暖的色调、友好的插画或激励性的文案,增强用户的归属感和忠诚度。项目的包装设计是用户接触的第一道门槛,必须通过视觉吸引力和内容价值迅速抓住用户的注意力。你在项目中遇到过哪些包装设计的挑战?
2025-02-01 13:56:45
820
空空如也
C盘-安全-everyone 设置了拒绝
2022-10-29
TA创建的收藏夹 TA关注的收藏夹
TA关注的人