mehvetero/evm-audit-checklist
GitHub: mehvetero/evm-audit-checklist
基于实战审计经验整理的 EVM 智能合约安全审查清单,覆盖六大常见漏洞类别并关联真实安全事件案例。
Stars: 1 | Forks: 0
# EVM 审计清单
用于审查 EVM 智能合约的结构化清单。根据多次审计参与过程中的笔记整理而成。
## 如何使用
在审查过程中依次完成每个部分。在验证后勾选相应条目。并非每个条目都适用于每个合约——跳过不相关的内容,但需说明原因。
## 部分
1. [访问控制](access-control.md)
2. [重入](reentrancy.md)
3. [预言机与价格馈送](oracles.md)
4. [闪电贷风险](flash-loans.md)
5. [升级模式](upgrades.md)
6. [Token 集成](token-integration.md)
## 许可证
CC BY 4.0
## 真实案例参考
每个清单条目都链接到了一个真实的安全事件,展示了该模式被利用或险些被利用的情况。一些 notable 的案例包括:
- **重入**:Curve pool 只读重入(2023 年 7 月,约 7000 万美元)
- **预言机**:Mango Markets 价格操纵(2022 年 10 月,1.14 亿美元)
- **闪电贷**:Euler Finance(2023 年 3 月,1.97 亿美元)
- **访问控制**:Ronin Bridge(2022 年 3 月,6.25 亿美元——验证者节点密钥被盗)
- **升级**:Wormhole(2022 年 2 月,3.2 亿美元——实现合约未初始化)
- **Token**:多个 DEX 分支中处理 Fee-on-transfer 失败的问题
## 状态
进行中。随着新的审计模式出现,会添加更多条目。
标签:Web3安全, 以太坊/EVM, 区块链安全, 安全审查清单, 智能合约审计, 防御加固