Chujimafa/smart-contract-security-portfolio
GitHub: Chujimafa/smart-contract-security-portfolio
Stars: 0 | Forks: 0
# 智能合约安全作品集
关于 DeFi 逻辑、智能合约漏洞以及最佳实践缓解措施的安全审计和 PoC 合集。
## 关于我
常驻柏林/布鲁塞尔。前建筑设计师,现正将结构化思维转型至智能合约审计领域。深入研究 CTF 和 DeFi 协议。
**[LinkedIn 主页](https://www.linkedin.com/in/chujun-fan-9354a0201)**
## 技术栈与方法论
### 语言与框架
- **语言:** Solidity, JavaScript
- **框架:** Foundry, Hardhat
### 安全与测试套件
- **模糊测试 (Fuzzing) 与不变量测试:**
- **Foundry:** 高级有状态/无状态模糊测试及系统级不变量开发。
- **Echidna:** 基于属性的模糊测试,用于发现深层边缘情况和状态转换。
- **形式化验证 (FV):**
- **Halmos:** 用于合约属性形式化证明的符号测试。
- **Certora:** 编写 CVL 规范以进行高保证逻辑验证。
### 方法论
1. **人工审查:** 逐行分析,重点关注业务逻辑、访问控制和集成风险(例如,闪电贷、预言机操纵)。
2. **基于属性的测试:** 定义核心不变量,并利用模糊测试/符号执行尝试突破系统保证。
3. **PoC 开发:** 在 Foundry 中编写可执行的 Proof-of-Concept,以演示并验证所有已识别的漏洞。
## 智能合约安全研究与出版物
### [Damn Vulnerable DeFi](https://www.damnvulnerabledefi.xyz/)
*针对经典 DeFi 安全攻防游戏的一系列解决方案和详细利用 PoC 合集。*
* [查看我所有的利用解决方案](https://github.com/Chujimafa/damn-vulnerable-defi-v4-solutions)
*我的 Damn Vulnerable DeFi 研究系列,发布于 Medium。*
* [Damn Vulnerable DeFi 挑战 2 Naive receiver 详解](https://medium.com/@maggie.chujifan/damn-vulnerable-defi-challenges-2-naive-receiver-walkthrough-723da175878a)
* [Damn Vulnerable DeFi 挑战 17 Curvy Puppet 详解](https://medium.com/@maggie.chujifan/damn-vulnerable-defi-challenges-17-curvy-puppet-walkthrough-0147fef8b737)
## 审计报告
针对各类教育性 DeFi 协议的结构化安全分析报告和 PoC 合集。
[查看我的安全审查报告](./reports/)
## 竞争性审计
### Codehawk 业绩仪表板
**当前排名:** 383 (截至 2026-02-01)
| 项目 | 协议类型 | High | Medium | Low / Gas | 分析与 PoC | Github 链接 |
| :-------------------- | :-------------------------- | :---: | :----: | :-------: | :--------------------------------------------------------------------------------------- | :-------------------------------------------------------------------------: |
| **Brivault** | 收益聚合器 (ERC-4626) | 3 | 1 | - | [查看发现](./competitive-audit/CodeHawks/BriVault_Results_and_Findings.md) | [🔗](https://github.com/Chujimafa/2025-11-brivault-security-review) |
| **Beatland Festival** | ERC1155 | 1 | 2 | - | [查看发现](./competitive-audit/CodeHawks/Beatland_Festival_Results_and_Findings.md) | [🔗](https://github.com/Chujimafa/2025-beatland-festival-security-review) |
| **MultiSig Timelock** | 治理 | 1 | 1 | 1 | [查看发现](./competitive-audit/CodeHawks/Multisig_TimeLock_Results_and_Findings.md) | [🔗](https://github.com/Chujimafa/2025-12-multisig-timelock-security-review) |
## 专业化工具 Proof-of-Concept
用于高级安全方法的专用工作区,专注于 **模糊测试** 和 **形式化验证 (FV)**。
* **状态:** 目前正在为 DeFi 逻辑构建全面的测试套件。内容即将推出。
## 精选 Web3 项目
除了审计,我还积极构建并研究复杂的 DeFi 架构和安全原语。我的开发工作专注于 **逻辑完整性**、**Gas 优化** 以及 **高级智能合约模式**。
标签:ASN解析, Certora, Damn Vulnerable DeFi, DeFi安全, Echidna, Foundry, Halmos, Hardhat, Solidity, Web3安全, 不变量测试, 以太坊, 区块链安全, 安全审计报告, 形式化验证, 情报收集, 数据可视化, 智能合约审计, 最佳实践, 概念验证, 漏洞研究, 漏洞缓解, 符号执行