项目地址

https://github.com/crytic/awesome-ethereum-security

以太坊安全精选

一个精心策划的以太坊安全参考资料清单，包括指南、工具等等。

加入Trail of Bits，通过在Calendly上预约时间参加免费的以太坊办公时间。Trail of Bits的工程师将帮助您将先进的安全（工具）#工具和实践应用到您的智能合约代码中。

目录

• 学习
  • 安全参考资料
  • 安全问题参考
  • 夺旗赛和战争游戏
    • Writeups
  • 协调披露
  • 博客
  • 重要博文
  • 会议演讲
  • 播客和剧集
    • 播客
    • 剧集
• 工具
  • 可视化工具
  • 代码检查工具
  • 漏洞发现工具
  • 验证工具
  • 逆向工具
• 社区
• 其他精选清单

学习

安全参考资料

• Solidity已知攻击向量的综合列表
• Consensys最佳实践
• 去中心化应用安全项目
• Solidity安全考虑事项
• Solidity v0.5.0变更说明

安全问题参考

• 有缺陷的ERC20代币精选清单
• EVM分析器基准测试
• 不那么智能的合约

夺旗赛和战争游戏

• Capture the Ether
• Ethernaut
• EtherHack
• SI Blockchain CTF

Writeups

• Ethernaut CTF实战 - 针对不同Ethernaut CTF挑战合约的实战经验。
• Ethernaut - Naught Coin (ERC20) Exploitation - 对Ethernaut CTF中易受攻击的ERC20代币的实战经验。
• EtherHack CTF Writeup - EtherHack CTF挑战的实战经验。
• PolySwarm智能合约黑客挑战Writeup - 展示了Manticore的高级用法。

协调披露

• 区块链安全联系人 - 区块链项目的安全联系信息

博客

• Hacking Distributed - Emin Gün Sirer，康奈尔科技学院IC3实验室的教授，专注于区块链安全。
• Phil Does Security - Phil Daian，KEVM、Hydra等以太坊学术项目的研究生。
• Trail of Bits - 一家进行网络安全研究和开发的公司，拥有区块链安全实践。
• Martin Holst Swende - Martin Swende，程序员和应用安全顾问。
• SmartDec博客 - 公司博客，关于区块链生态系统中的安全问题和实践。

重要博文

• 合约升级的反模式
• Fomo3D奖金的获胜者是如何做到的-详细解释
• 如何使用Tenderly和Truffle调试Solidity智能合约
• 攻击Spank Channel
• 恶意的GasToken铸币
• ERC20代币的缺失返回值漏洞
• Dice2win的公平性分析
• 以太坊Casper协议的初始形式验证
• Shamir's秘密分享的安全考虑
• SmartDec智能合约审计初学者指南
• 区块填充攻击的解剖
• 智能合约蜜罐的现象

• 使用我们的以太坊安全工具套件
• Vertcoin（VTC）成功遭受了51%攻击

会议演讲

标题	会议	年份
在以太坊智能合约中预测随机数	OWASP AppSec	2018年
区块链尸检-分析智能合约的死亡	Blackhat USA	2018年
Rattle - 一个EVM二进制分析框架	reCON	2018年
Blackhat以太坊	CanSecWest	2018年
为了乐趣和利润破解以太坊智能合约	HITB Amsterdam	2018年
区块链的自动漏洞发现	EkoParty	2017年

播客和剧集

播客

• CoinSec Podcast
• The Smartest Contract
• Zero Knowledge

剧集

• The Smartest Contract 第15集 - Trail of Bits对安全的展望，与JP Smith
• The Smartest Contract 第8集 - 智能合约安全和蜜罐，与Gerhard Wagner
• Zero Knowledge 第29集 - DAO、白帽黑客组织和Giveth，与Griff Green
• Zero Knowledge 第16集 - 与Trail of Bits的JP Smith谈论安全性
• Risky Business 第488集 - JP Smith谈论区块链的各种事务

工具

可视化工具

• ethereum-graph-debugger - 图形化的EVM调试器，显示整个程序的控制流程图。
• Slither - Slither可以映射方法的可见性和修饰符，读取和写入的状态变量，调用，并可以打印智能合约的继承图。
• Solgraph - 生成Solidity合约中函数控制流的DOT图形。
• Surya - 生成函数调用图的各种可视化输出。
• sol-function-profiler - Solidity合约函数分析器。

代码检查工具

• Remix - 基于浏览器的Solidity IDE，具有代码检查功能。
• SmarrtCheck - Solidity和Vyper的代码检查工具，检查代码中的安全问题和不良实践。
• Solhint - 用于安全性和样式指南验证的代码检查工具。严格遵循Solidity样式指南。
• Solium - 用于安全性和样式指南验证的代码检查工具。不严格遵循Solidity样式指南。

漏洞发现工具

• Echidna - 用于以太坊智能合约的模糊测试工具。使用属性测试生成破坏智能合约的恶意输入。
• Manticore - 用于以太坊智能合约的符号执行工具，包含常见安全漏洞的检测器。
• Mythril OSS - 围绕检测器模块构建的以太坊智能合约的开源安全分析工具。
• Securify - ChainSecurity的静态分析工具。
• Slither - 使用Python编写的静态分析框架，具有许多常见Solidity问题的检测器。

验证工具

• KEVM - 以太坊虚拟机（EVM）的K语义
• Manticore - 用于EVM的符号执行工具

逆向工具

• abi-decompiler - EVM逆向工程辅助工具
• ethereum-dasm - EVM反汇编器，具有静态和动态分析功能，包括函数签名查找
• Ethersplay - 基于Binary Ninja的EVM字节码可视化反汇编工具
• evmlab - 与以太坊虚拟机进行交互的实用工具
• IDA-EVM - IDA插件，用于查看EVM指令
• Panoramix
• pyevmasm - 带有CLI和Python API的EVM汇编器和反汇编器
• Rattle - EVM二进制静态分析框架，生成EVM代码的SSA表示。

托管

• Subzero - Square开发的基于HSM的比特币冷存储方法

社区

• Enterprise Ethereum Alliance安全任务组
• Empire Hacking Slack #ethereum

其他精选清单

• Awesome AppSec
• Awesome Ethereum Virtual Machine
• Awesome Solidity
• 可能不糟糕的加密项目

标签：工具分享, 学习路线, 思路分享, 学习笔记