Add study notes for 2025-08-21

Author: AutoBot42

cigaho.md

@@ -15,6 +15,74 @@ HKU大三Fintech专业在读, 对blockchain 生态有一定了解, 掌握solidit
 ## Notes
 
 <!-- Content_START -->
+# 2025-08-21
+
+# 区块链安全漏洞全景
+
+## 智能合约层漏洞
+### 1. 重入攻击（Reentrancy）
+- **风险本质**：外部调用期间状态未锁定  
+- **典型场景**：提款函数递归调用  
+- **防御方案**：先更新状态再转账 + 互斥锁机制  
+
+### 2. 权限控制缺失
+- **核心表现**：关键函数无权限验证  
+- **高危操作**：所有权转移/资金提取  
+- **防护措施**：OpenZeppelin的Ownable库 + 多签名机制  
+
+### 3. 数值溢出/下溢
+- **触发条件**：整数超越存储范围  
+- **防护方案**：Solidity ≥0.8.0自动保护 + 安全数学库  
+
+### 4. 预言机操控
+- **攻击模式**：单数据源喂价欺骗  
+- **防御策略**：Chainlink多节点验证 + 时间加权平均  
+
+## 交互层漏洞
+### 5. 前端钓鱼攻击
+- **主要手段**：伪造交易签名弹窗  
+- **用户特征**：域名拼写错误/无HTTPS  
+- **防护方案**：钱包地址绑定 + 交易预解析  
+
+### 6. 前端状态篡改
+- **技术原理**：内存中修改请求参数  
+- **高危操作**：代币授权额度操控  
+- **解决方案**：后端二次校验 + 授权限额设置  
+
+### 7. 交易抢跑（Front-Running）
+- **链上特征**：Mempool交易监听  
+- **风险场景**：DEX套利/拍卖出价  
+- **缓解方案**：承诺机制 + 零知识证明  
+
+## 环境层漏洞
+### 8. 私钥泄露
+- **主要途径**：截屏/剪贴板监控/云存储  
+- **保护措施**：硬件钱包 + 分片存储  
+- **紧急预案**：多签钱包冷备份  
+
+### 9. 供应链攻击
+- **入侵路径**：污染第三方依赖库  
+- **典型案例**：恶意NPM包注入后门  
+- **防御方案**：依赖库哈希校验 + 安全扫描  
+
+### 10. 配置漏洞
+- **典型错误**：测试网配置误用于主网  
+- **风险场景**：RPC端点暴露私钥  
+- **防护策略**：自动化配置检查清单  
+
+## 漏洞检测方法论
+### 技术审计维度
+1. **静态分析**：代码模式扫描（Slither）  
+2. **动态测试**：模糊测试/边界值检测  
+3. **形式化验证**：数学模型证明逻辑完备性  
+
+### 简易自检清单
+- [ ] 所有外部调用均添加重入保护  
+- [ ] 管理员函数需多签验证  
+- [ ] 前端交易弹窗显示关键参数  
+- [ ] 依赖库版本锁定且来源可信  
+- [ ] 主网配置独立存储加密
+
 # 2025-08-20
 
 # Foundry Anvil 本地节点核心实践