引言:
在区块链技术飞速发展的今天,Solana作为新兴的公链之一,以其卓越的性能和丰富的应用生态备受关注。然而,随着Solana生态系统的日益壮大,安全问题也日益凸显。近期,Solana Hacker House在香港举办,慢雾安全团队公链安全负责人Johan在活动中分享了关于Solana生态安全和审计策略的深入见解。本文将为您揭秘Solana的安全机制、安全事件以及智能合约安全审计策略,共同探讨Solana生态的未来。
一、开发中的安全考量
1. Solana账号
Solana的账号设计理念和Linux文件系统相似,具有严格的所有权和读写权限控制。账号可用于存储数据,需支付租金。此外,Solana的Programs是无状态的,需要创建用于存储数据的PDA账号。
2. 账号校验
智能合约需严谨设计账号关联关系,进行以下校验:
– Key校验:检测传入的账户是否是预期的账户;
– Owner校验:验证数据编写者是否具有授权;
– Signer校验:认证发起请求的调用者身份;
– Program ID校验:确认执行环境符合预期条件;
– PDA校验:验证数据完整性,确保来自可信任的来源;
– Lamports校验:检测用于存储数据的租金充足性;
– Data校验:分析数据格式,确保符合预期结构。
二、Solana上的资产:代币
1. 代币组成
Solana上的代币主要由token-program、mint-account和token-account三部分组成。发行代币需创建mint-account,接收代币需创建token-account。
2. 代币安全注意事项
– Token Program ID校验:确认代币由官方项目发行;
– Mint校验:确保收到的是正确的代币;
– Mint Authority校验:保护代币铸造权利;
– Decimal校验:验证代币小数精度;
– Amount校验:实施范围验证,防止溢出;
– Freeze Authority校验:确保NFT发行权限被不可逆地终止。
三、Solana中的安全事件
1. Wormhole跨链桥被攻击
黑客利用伪造的账号和精心构造的数据,使智能合约错误地增发代币,造成12万个ETH损失。
2. Nirvana遭闪电贷攻击
黑客从solend借出大量USDC,操控代币价格,获利300多万美元。
3. 大规模盗取私钥事件
2022年8月,Solana社区大量用户被盗取私钥,原因尚不明确。
4. 代币假充值攻击
攻击者创建token-account,转移代币,再进行链下操作。
四、结论与展望
Solana生态系统在发展过程中,安全问题不容忽视。通过深入分析开发中的安全考量、代币安全注意事项以及Solana中的安全事件,我们了解到Solana生态安全和审计策略的重要性。未来,随着区块链技术的不断成熟,Solana生态系统在安全保障、智能合约安全审计等方面将更加完善,为用户提供更加安全、可靠的应用体验。
Views: 0