TradMod/awesome-audits-checklists

# Awesome Audits 检查清单 ### 目录 - [通用智能合约安全与审计检查清单](#1-general-smart-contracts-security--audit-checklists) - [ERC 标准与边缘情况](#2-erc-standards--edge-cases) - [跨链桥、互操作性与多链](#3-bridges-interoperability--multichain) - [DeFi 协议](#4-defi-protocols) - [协议集成安全](#5-protocols-integration-security) - [代理与可升级性](#6-proxies--upgradability) - [签名攻击](#7-signature-attacks) - [治理](#8-governance) - [特定链安全](#9-chains-specific-security) - [钱包安全](#10-wallets-security) - [其他/未分类](#11-otheruncategorized) - [支持](#support) - [贡献](#contribution) ## 1. **通用智能合约安全与审计检查清单** - [终极安全检查清单](https://www.beirao.xyz/blog/Security-checklist) — by Beirao 涵盖智能合约安全所有关键方面的综合检查清单。 - [Solodit 检查清单](https://solodit.cyfrin.io/checklist) — by Cyfrin 用于审计和审查 Solidity 智能合约的可操作检查清单。 - [通用审计检查清单](https://github.com/tamjid0x01/SmartContracts-audit-checklist) — by Tamjid 智能合约审计的通用检查清单，涵盖常见漏洞。 - [SCSVS - 智能合约安全验证标准](https://github.com/ComposableSecurity/SCSVS) — by Composable Security 用于验证智能合约安全性的标准化框架。 - [智能合约安全](https://www.rareskills.io/post/smart-contract-security) — by Rareskills 关于智能合约安全概念和最佳实践的深入文章。 - [审计员检查清单](https://github.com/Cyfrin/audit-checklist?tab=readme-ov-file#acknowledgements) — by Cyfrin 整理的不同审计员的检查清单列表。 - [预审计准备](https://composable-security.com/blog/smart-contract-audit-the-best-tips-on-how-to-be-prepared-better/) — by Composable Security 准备项目以成功进行智能合约审计的技巧和步骤。 - [开发安全工具包](https://github.com/nascentxyz/simple-security-toolkit?tab=readme-ov-file) — by Nascent 用于在智能合约开发过程中增强安全的脚本、资源和检查清单工具包。 - [多重签名安全最佳实践](https://www.youtube.com/watch?v=lHk_RDzvKCc) — by Mudit Gupta 涵盖多重签名钱包和治理系统实现与管理的安全最佳实践的视频指南。 - [漏洞报告提交通知书](https://immunefisupport.zendesk.com/hc/en-us/articles/15427337783057-Bug-Report-Submission-Checklist) — by Immunefi 提交有效且完整漏洞报告的指南。 - [反黑客检查清单](https://github.com/Quillhash/DeFi-anti-hack-checklist) — by QuillAudits 专注于防止 DeFi 协议被黑客攻击的检查清单。 - [危机手册 - 智能合约被黑](https://docs.google.com/document/d/1DaAiuGFkMEMMiIuvqhePL5aDFGHJ9Ya6D04rdaldqC0/edit?tab=t.0) - SEAL 协议被黑并处理智能合约危机时应遵循的检查清单。 - [Web3 创始人的实用安全措施](https://www.youtube.com/watch?v=Wa--zO509bA) - Mehdi SigmaPrime 这是每一位 Web3 创始人、开发者与研究人员必须观看并采取的实用措施。 ## 2. **ERC 标准与边缘情况** ### ERC20 - [奇怪的 ERC20 实现](https://github.com/d-xo/weird-erc20) — by d-xo 非标准或非常规 ERC20 代币实现的列表。 ### ERC721 - [奇怪的 ERC721 实现](https://github.com/abarbatei/weird-erc721) — by ABA 非标准和奇特的 ERC721 合约示例。 - [ERC721 安全线程](https://x.com/Olympix_ai/status/1757018050291761295) — by Olympix 讨论 ERC721 特定安全问题的 Twitter 线程。 ### ERC4626 - [ERC4626 安全检查清单](https://github.com/Solthodox/erc4626-checklist) — by Solthodox 用于审计 ERC4626（代币化金库）合约的检查清单。 - [ERC4626 舍入问题](https://x.com/sammyaudits/status/1831615410573136327) — by Sammy 突出显示 ERC4626 实现中舍入错误的 Twitter 线程。 - [ERC4626 金库安全入门](https://github.com/devdacian/ai-auditor-primers/blob/main/primers/amy.vault.erc4626.primer.md) — by DevDacian 最大的 ERC4626 检查清单。包含 350 多个直接漏洞、许多陷阱、集成错误等。 ### ERC4337 & 账户抽象 - [ERC4337 安全检查清单](https://github.com/aviggiano/security/blob/main/audit-checklists/ERC-4337.md) — by Aviggiano 用于 ERC4337（账户抽象）合约的安全检查清单。 ## 3. **核心区块链、节点与基础设施** - [核心节点安全指南](https://blog.sigmaprime.io/core-node-security.html) — by Sigma Prime 审查核心区块链节点的全面安全工程师指南，涵盖对 Reth 等区块链节点实现进行彻底安全审查的系统方法。 - [区块链安全线程](https://x.com/Designer_Misbah/status/1953906761871626751) — by Misbah 涵盖通用区块链安全考虑和最佳实践的 Twitter 线程。 ## 3. **跨链桥、互操作性与多链** - [互操作性协议安全检查清单](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist) — by Windhustler 用于保护跨链解决方案（如 LyerZero、CCIP、Wormhole 等）互操作性协议安全的检查清单。 - [多链审计员](https://github.com/0xJuancito/multichain-auditor) — by 0xJuancito 包含用于审计多链协议的资源与工具的仓库。 - [跨链桥安全检查清单](https://github.com/spearbit/portfolio/blob/master/content/bridges/BridgeSecurityChecklist.md) — by Spearbit 用于审计跨链桥安全性的检查清单。 - [区块链桥接漏洞](https://github.com/the-caliber/Blockchain-bridge-vulnerabilities) — by the-caliber 记录各种区块链桥接漏洞及跨链桥实现安全考量的仓库。 - [LayerZero 安全研究](https://lab.guardianaudits.com/encyclopedia-of-security-research/layerzero) — by Guardian Audits 涵盖 LayerZero 协议安全研究、漏洞及集成考量的百科全书式条目。 ## 4. **DeFi 协议** - [AMM 审计检查清单](https://github.com/Decurity/audit-checklists/blob/master/amm.md) — by Decurity 用于审计 AMM 智能合约的检查清单。 - [AMM 安全与审计洞察](https://mirror.xyz/millietez.eth/ixD3xe-Q7JQowYcIFmGKxkPae_C5tCN9kWn9jXUhnKk) — by Millie Tez 关于自动化做市商协议安全考虑与审计技巧的深入文章。 - [CDP 审计检查清单](https://github.com/Decurity/audit-checklists/blob/master/cdp.md) — by Decurity 用于审计抵押债务头寸（CDP）的检查清单。 - [Liquity 分叉中的漏洞（第 1 部分）](https://x.com/VulsightSec/status/1968039102848110619) - by VulSight / ZeroCipher Liquity v2 分叉中的常见漏洞与安全部署 Liquity V2 的注意事项。 - [LSD 审计检查清单](https://github.com/Decurity/audit-checklists/blob/master/lsd.md) — by Decurity 用于审计 LSD（流动性剥离）协议的检查清单。 - [质押协议审计指南](https://defihacklabs.substack.com/p/solidity-security-lesson-3-guidelines) - QuillAudits - 有助于识别潜在漏洞的质押协议审计参考。 - [LSD 最佳实践](https://mixbytes.io/blog/liquid#rec621210033) — by MixBytes 对流动性质押衍生品（LSD）的安全分析与最佳实践。 - [流动性质押代币](https://blog.sigmaprime.io/liquid-restaking.html) — by Sigma Prime 关于流动性质押代币（LRT）安全考虑的深入文章。 - [清算漏洞](https://dacian.me/defi-liquidation-vulnerabilities) — by Dacian 分析 DeFi 清算机制中的漏洞。 - [CLM 漏洞](https://dacian.me/concentrated-liquidity-manager-vulnerabilities) — by Dacian 集中流动性管理器中的安全问题和风险。 - [滑点攻击](https://dacian.me/defi-slippage-attacks) — by Dacian 解释 DeFi 中的滑点攻击及其防范方法。 - [精度损失错误](https://dacian.me/precision-loss-errors) — by Dacian 讨论智能合约中因精度损失导致的错误。 ## 5. **协议集成安全** - [外部集成：智能合约中的隐藏风险](https://x.com/0xCharlesWang/status/1931486275707830730) - by CharlesWang - 通用外部集成最佳实践与安全风险。 - [Across V3 安全检查清单](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist/blob/main/audit-checklists/Across.md) — by TradMod (ABDul Rehman) 用于审计 Across V3跨链消息协议集成安全性的详细检查清单。 - [LayerZero V2 安全检查清单](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist/blob/main/audit-checklists/LayerZeroV2.md) — by windhustler 用于审计 LayerZero V2 跨链消息协议集成安全性的详细检查清单。 - [Wormhole 安全检查清单](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist/blob/main/audit-checklists/Wormhole.md) — by windhustler 针对 Wormhole 桥接集成的全面审计检查清单，突出关键风险与最佳实践。 - [Chainlink CCIP 安全检查清单](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist/blob/main/audit-checklists/Chainlink-CCIP.md) — by windhustler 用于审查和保障 Chainlink CCIP（跨链互操作性协议）实现的详细检查清单。 - [Berachain 预言机漏洞](https://x.com/blckhv/status/1928502350999687388?t=sNBNAMdhhSp9TkSGLlvpzg&s=19) — by blckhv 详细介绍了在 Berachain 预言机实现中发现的漏洞的 Twitter 线程。 - [Stargate V2 集成检查清单](https://mirror.xyz/0xaeDAA951e7fbe1031E3553a7a8b1d8A89b132d7b/WfZ1ewSlkbErd-swiBV0AGbQ0xEWdnq6nCzDNStDUKI) — by EngimaDark/Windhustler Stargate V2 合同集成的安全检查清单。 ### UniswapV4 钩子集成指南 - [在编写 Uniswap v4 钩子前应询问的问题](https://blog.openzeppelin.com/6-questions-to-ask-before-writing-a-uniswap-v4-hook) - by OpenZeppelin 本指南概述了设计适合特定需求的 UniswapV4 钩子时需考虑的一些关键问题。 - [Uniswap V4 钩子安全演讲](https://www.youtube.com/watch?v=Fbxsv8rxHZw) — by Damian (Composable Security) 关于 Uniswap V4 架构及构建自定义钩子时的主要安全威胁与最佳实践的详细演示。 - [Uniswap V4 钩子安全深度研究](https://www.youtube.com/watch?v=4o8yGcq6tfM) — by Jota Carpanelli (OpenZeppelin) Uniswap V4 钩子的技术走查，包括如何构建、测试和保障自定义钩子的安全。 - [审计 Uniswap V4 钩子](https://hacken.io/discover/auditing-uniswap-v4-hooks/) — by Hacken 概述 Uniswap V4 钩子集成的主要审计考虑、攻击向量及建议。 - [Uniswap V4 钩子安全考虑](https://www.quillaudits.com/blog/web3-security/uniswap-v4-security-considerations) — by QuillAudits 对 Uniswap V4 及其钩子带来的新安全挑战与缓解策略的梳理。 - [Uniswap V4 钩子集成安全考虑](https://www.certik.com/resources/blog/uniswap-v4-hooks-security-considerations) — by CertiK 分析 Uniswap V4 钩子引入的独特安全风险及其应对方法。 - [Uniswap V3/V4 安全](https://lab.guardianaudits.com/encyclopedia-of-security-research/uniswap) — by Guardian Audits 对 Uniswap V3 和 V4 协议及其集成风险和安全考虑的全面安全研究与分析。 ## 6. **代理与可升级性** - [可升级模式](https://www.youtube.com/watch?v=Zjj5lDmHlq8) — by Daniel Von Fange 讲解可升级智能合约常见模式的视频。 - [可升级合约 Twitter 线程](https://x.com/pashovkrum/status/1699407698750578765) — by Pashov Krum 讨论可升级性与代理合约安全性的 Twitter 线程。 - [UUPS 代理安全](https://www.rareskills.io/post/uups-proxy) — by Rareskills 分析 Solidity 中 UUPS 代理模式安全性的文章。 ## 7. **签名攻击** - [签名重放攻击](https://dacian.me/signature-replay-attacks#cmb200fic000009jrbs2y2cnw) — by Dacian 深入解释智能合约中的签名重放攻击。 - [签名](https://medium.com/coinmonks/ethereum-signatures-for-hackers-and-auditors-101-4da766cd6344) — by Coinmonks (Medium) 关于以太坊签名及其安全含义的入门友好指南。 - [签名重放](https://dacian.me/signature-replay-attacks) — by Dacian 重放攻击向量及预防的通用概述。 ## 8. **治理** - [DAO 治理攻击](https://dacian.me/dao-governance-defi-attacks) — by Dacian 分析与 DAO 治理机制相关的攻击和漏洞。 - [DAO 治理安全](https://blog.sigmaprime.io/governance-dao.html) — by Sigma Prime 协议治理与 DAO 中的常见漏洞，涵盖重入攻击、内部威胁、闪电贷投票、提案执行问题及其他治理特定攻击向量。 ## 9. **特定链安全** - [多链审计员](https://github.com/0xJuancito/multichain-auditor) — by 0xJuancito 包含用于审计多链协议的资源与工具的仓库。 ### Solana - [Solana 程序安全指南](https://www.helius.dev/blog/a-hitchhikers-guide-to-solana-program-security) — by Helius Solana 程序开发的全面指南，涵盖常见漏洞、攻击向量及中间/高级开发者的缓解策略。 - [Solana 最佳实践](https://github.com/slowmist/solana-smart-contract-security-best-practices) — by Slowmist 保障 Solana 智能合约安全的最佳实践。 - [SPL Token-2022](https://neodyme.io/en/blog/token-2022/#tldr) - by Neodyme 新 Solana SPL 代币扩展的安全隐患与最佳实践。 - [Solana 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/solana/index.html) — by ToB Secure Contracts Solana 合约中的安全问题示例。 - [Solana 高级安全](https://substack.com/home/post/p-164534668) — by Nirlin Solana 开发者的高级安全主题。 ### Arbitrum - [Arbitrum 集成漏洞](https://github.com/windhustler/Interoperability-Protocol-Security-Checklist/blob/main/audit-checklists/Arbitrum.md) — by Windhustler Arbitrum 安全陷阱与集成指南。 ### Algorand - [Algorand 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/algorand/index.html) — by ToB Secure Contracts Algorand 合约中的安全漏洞与实际问题。 ### Starknet (Cairo) - [Starknet 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/cairo/index.html) — by ToB Secure Contracts Starknet (Cairo) 合约中的漏洞示例。 ### Cosmos - [Cosmos 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/cosmos/index.html) — by ToB Secure Contracts Cosmos 合约中的安全问题与案例研究。 ### Substrate - [Substrate 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/substrate/index.html) — by ToB Secure Contracts 基于 Substrate 的智能合约安全分析与研究。 ### Ton - [Ton 不那么智能的合约](https://secure-contracts.com/not-so-smart-contracts/ton/index.html) — by ToB Secure Contracts TON 智能合约中的安全漏洞。 - [Ton 安全检查清单](https://github.com/PositiveSecurity/ton-audit-guide) — by PositiveSecurity TON 智能合约审计检查清单。 ### Tron - [审计 Tron 项目的检查清单](https://github.com/PositiveSecurity/tron-audit-guide) — by PositiveSecurity Tron 合约中常见漏洞与集成陷阱的指南。 ### Blast - [Blast 集成指南](https://nirlin-blast-bugs.notion.site/Blast-Integration-Bugs-Guide-131344ccd05642bdbb49d2026c3227cf) — by Nirlin Blast 中常见漏洞与集成陷阱的指南。 ### Near - [Near 智能合约检查清单](https://docs.near.org/smart-contracts/security/checklist) — Near Docs Near 智能合约安全注意事项列表。 ### Binance Chain - [BNB Chain 安全提示](https://cantina.xyz/blog/bnb-chain-security-tips) — by Cantina 涵盖漏洞模式、漏洞防御及 BNB Chain 开发特定安全工程实践的前 15 条安全建议。 ### Hyperliquid - [LST 在 Hyperliquid 上的隐患](https://medium.com/@talfao_94085/implementation-and-security-pitfalls-of-lst-on-hyperliquid-b83b8fd42713) — by Talfao Hyperliquid 上 LST 的实现与安全隐患。 ## 10. **钱包安全** - [Web3 钱包安全检查清单](https://blockapex.io/web3-wallet-security-checklist/) — by BlockApex 涵盖保障 Web3 钱包安全的最佳实践的实用检查清单。 - [所有钱包安全检查清单](https://www.slowmist.com/service-wallet-security-audit.html) — by SlowMist 用于审计和保障各类加密钱包安全的全面检查清单。 - [账户抽象](https://mixbytes.io/blog/account-abstraction#rec613585484) — by MixBytes 探讨账户抽象安全性的文章。 - [账户抽象审计检查清单](https://slowmist.medium.com/slowmist-security-audit-checklist-for-account-abstraction-wallets-ed48fc10cdbc) — by Slowmist 账户抽象钱包的审计检查清单。 - [加密钱包安全评估检查清单](https://www.certik.com/resources/blog/cryptowalletsecurityassessmentchecklist) — by Certik 概述评估加密钱包安全性的关键步骤与最佳实践检查清单。 - [Web3 钱包安全检查清单](https://blockapex.io/web3-wallet-security-checklist/) — by BlockApex 涵盖保障 Web3 钱包安全的最佳实践及钱包安全评估方法论的实用检查清单。 ## 11. **其他/未分类** - [预言机安全线程](https://x.com/0xjmaria/status/1939980905453367761) — by @0xjmaria 详细讨论预言机特定安全考虑与漏洞的 Twitter 线程。 - [预言机与定价安全](https://blog.sigmaprime.io/oracles-and-pricing.html) — by Sigma Prime 全面指南，涵盖预言机与定价馈送中的常见漏洞，包括现货定价攻击、自建预言机问题、延迟、拥塞及价格操纵技术。 - [Solidity Gas 优化](https://github.com/TechnoGeek01/solidity-gas-optimizations) — by TechnoGeek01 Solidity 智能合约开发的省 Gas 技巧与最佳实践精选列表。 - [2020 智能合约安全论文](https://arxiv.org/pdf/2008.04761) — by Nicola arXiv 截至 2020 年智能合约安全现状的学术论文。 - [Chainlink 预言机攻击](https://medium.com/cyfrin/chainlink-oracle-defi-attacks-93b6cb6541bf) — by Cyfrin 关于过去涉及 Chainlink 预言机的攻击与漏洞的文章。 - [Chainlink VRF 安全](https://docs.chain.link/vrf/v2/security) — by Chainlink Chainlink 可验证随机函数（VRF）安全模型官方文档。 - [SWC 注册表](https://swcregistry.io) — by SWC Registry 已知智能合约漏洞的综合性数据库，每条均带有唯一标识符和详细描述。 - [Solidity 内联汇编漏洞](https://dacian.me/solidity-inline-assembly-vulnerabilities) — by Dacian 使用 Solidity 内联汇编时的安全风险与陷阱。 - [Solidity DevSecOps 标准](https://github.com/0xsomnus/Solidity-DevSecOps-Standard) — by 0xsomnus Solidity 开发的 DevSecOps 最佳实践与标准。 - [如何实现多重签名](https://howtomultisig.com/) - SEAL/fredrik 关于如何实现安全多重签名标准操作流程的最佳实践。 - [CREATE/CREATE2 安全隐患](https://mixbytes.io/blog/pitfalls-of-using-cteate-cteate2-and-extcodesize-opcodes) — by MixBytes 分析在智能合约开发中使用 CREATE、CREATE2 和 EXTCODESIZE 操作码的安全隐患。 - [EIP-7702 安全考虑](https://www.youtube.com/watch?v=ZFN2bYt9gNE) — by Tincho/Red Guild 关于 EIP-7702 实现的安全影响与考虑的视频讨论。 ## 支持 如果您希望支持本仓库及其贡献者，可以通过 [Terminal](https://terminal.merit.systems/TradMod/awesome-audits-checklists) 进行支持。感谢！ ## 贡献 如果您想参与贡献，请通过 [X](https://x.com/TheTradMod) 联系我，或直接创建 PR 匿名提交 :）

标签：Beirao, Cyfrin, DeFi安全, ERC标准, SCSVS, Solidity审计, Web3安全, 区块链安全, 协议集成安全, 可升级代理, 合约审计, 多重链, 审计资源, 智能合约, 检查清单, 治理, 签名攻击, 跨链桥, 钱包安全, 链上安全