📦 Atlas Smart Contract Auditor — Atlas 智能合约审计员
v1.0.0智能合约审计和DeFi安全事件响应技能,支持Solidity、EVM协议、漏洞赏金计划、Code4rena、Sherlock和HackenProof。绘制攻击表面...
by @n8gendegen运行时依赖
安装命令
点击复制技能文档
Atlas 智能合约审计员 一个轻量级的智能合约审计和 DeFi 安全性初步审查技能,适用于 Solidity/EVM 协议、漏洞赏金猎人、Code4rena 守护者、Sherlock 审计员和 HackenProof 研究员。 当您需要对 DeFi 协议或智能合约范围进行快速初步审查之前,提交数小时的手动审计时,请使用此技能。
搜索关键词 / 最佳用例 智能合约审计 DeFi 审计 DeFi 安全审计 Solidity 审计 EVM 审计 漏洞扫描器 智能合约漏洞初步审查 漏洞赏金初步审查 Code4rena 审计工作流 Sherlock 审计工作流 HackenProof 赏金工作流 访问控制审查 Oracle 操纵审查 重入性检查清单 升级代理审查
何时使用 新智能合约审计目标分配 DeFi 竞赛刚刚开启,您需要优先处理文件 漏洞赏金范围包括 Solidity/EVM 合约 您需要一个结构化的初步漏洞检查清单 您想在深入手动审查之前映射攻击面
生成内容 一个结构化的 markdown 审计初步审查报告,包含: 目标概述 协议类型和合约类别 攻击面映射 高优先级漏洞类别 合约逐一检查清单 推荐的深入审查顺序 快速审查项目
工作流程第 1 阶段:智能合约范围映射 对于范围内的每个合约: 识别协议类型:贷款、AMM、金库、质押、桥接、Oracle、治理、NFT、账户抽象 识别外部集成:Chainlink、Uniswap、Curve、ERC20 代币、桥接、路由器、守护者 标记代理/升级模式:EIP1967、UUPS、透明代理、信标代理、克隆 识别特权角色:所有者、管理员、监护人、暂停者、时间锁、操作员 注意新颖或高风险机制:自定义会计、份额定价、清算数学、奖励、TWAP
工作流程第 2 阶段:DeFi 漏洞优先级 根据可能性 × 影响对每个漏洞类别进行评分: 高优先级 - 重入性:外部调用 + 状态更改 + 回调
- 访问控制:缺少修饰符、错误的角色假设、管理员绕过
- Oracle 操纵:过时价格、TWAP 操纵、小数点不匹配、回退 Oracle 错误
- 会计错误:份额价格漂移、舍入损失、手续费数学、抵押/债务不匹配
- 清算错误:坏健康因子数学、过时的抵押价值、可悲的清算路径
- 升级错误:未保护的初始化、存储碰撞、实现接管
- ERC777/回调启用令牌惊喜
- 三明治/MEV 敏感定价
- 通过无限循环或可悲的状态进行 DOS
- 签名重放/许可域分隔符问题
- 事件/报告不匹配
- 气体可悲
- 次要精度损失无可利用的价值提取
工作流程第 3 阶段:合约逐一检查清单
合约:<名称>
外部调用/重入性
- [ ] 外部调用发生在状态更新之后?
- [ ] 重入性保护存在回调可能的地方?
- [ ] ERC777/ERC721 接收者/闪贷回调考虑?
访问控制
- [ ] 特权函数使用正确的修饰符?
- [ ] 时间锁/所有者/管理员边界清晰?
- [ ] 紧急函数无法窃取用户资金?
Oracle/定价
- [ ] Oracle 新鲜度检查?
- [ ] 小数点归一化正确?
- [ ] 回退 Oracle 不能被操纵?
- [ ] TWAP 窗口足够长以适应协议价值风险?
会计
- [ ] 份额/资产转换处理舍入方向正确?
- [ ] 手续费计算不能耗尽或阻塞会计?
- [ ] 存款/提款保留不变式?
升级
- [ ] 初始化程序保护?
- [ ] 存储布局兼容?
- [ ] 实现不能被自毁或劫持?
工作流程第 4 阶段:审计初步审查报告 # 智能合约审计初步审查:<目标>
目标概述
- 协议类型:
- 链(s):
- 范围内的合约:
- 最高价值资产:
攻击面总结
- 外部集成:
- Oracle 依赖:
- 升级模式:
- 特权角色:
顶级漏洞类别审查
- [高] <类别> —— <为什么此目标暴露>
- [高] <类别> —— <为什么此目标暴露>
- [中] <类别> —— <为什么此目标暴露>
推荐的深入审查顺序
- <合约> —— 关注 <漏洞类别>
- <合约> —— 关注 <漏洞类别>
- <合约> —— 关注 <漏洞类别>
快速审查清单
- [ ] 重入性审查
- [ ] 访问控制审查
- [ ] Oracle 操纵审查
- [ ] 升级审查
- [ ] 会计不变式审查