Investigator Veritatis

README

5 min read

1. Smart Contract Auditor 学习路线(原始结构保持)

Step 1. 区块链基础(Blockchain Fundamentals)

1.1 共识机制理解

  • 工作量证明(Proof of Work)

  • 权益证明(Proof of Stake)

目标定位
理解区块链安全的根基不是“智能合约”,而是共识与激励机制

Step 2. Solidity 基础(Solidity Fundamentals)

2.1 以太坊基础掌握

  • Mastering Ethereum(以太坊全景理解)

2.2 Solidity 编程

  • Smart Contract Programmer – Solidity 0.8

目标定位
能独立编写、部署、调试基础智能合约。

Step 3. Gas 优化(Gas Optimizations)

3.1 高级 Gas 优化技巧

  • Juan:Advanced Gas Optimizations

  • Kaden:Gas Optimization Tips

  • pcaversaccio / Harikrishnan Mulackal 的优化技巧合集

3.2 ERC 标准理解

  • Token 标准:ERC20、ERC721、ERC777、ERC1155、ERC4626

  • 其他标准:ERC2981

3.3 研究与社区资源

  • CipherShastra

  • Ethereum Magicians

  • 深度研究论文(Arxiv)

  • 安全漏洞数据库(Solodit)

  • The Eth2 Book

  • DeFi MOOC

目标定位
理解 Gas 与 EVM 行为的关系,这是高阶审计的基础能力。

Step 4. Solidity 安全与测试

4.1 Secureum 课程体系

  • Secureum Solidity 101

  • Secureum Solidity 201

4.2 合约测试与调试

  • Smart Contract Testing / Debugging

  • Better Programming Hub

  • Hardhat 官方文档

目标定位
建立**“写合约时就考虑攻击面”**的工程习惯。

Step 5. 编程补充资源

5.1 编程讲解资源

  • Code Eater(印地语)

说明
作为补充学习材料,用于巩固 Solidity 编码能力。

Step 6. OpenZeppelin 合约库

6.1 安全库使用

  • OpenZeppelin Helper Libraries / Contracts

目标定位
理解“为什么安全库是安全的”,而不是盲目调用。

Step 7. 可升级合约(Upgradeable Contracts)

7.1 代理模式

  • 不同 Proxy 标准:EIP-897、1822、1967、1538、2535

7.2 可升级合约风险

  • Smart Contract Programmer – Upgradeable Contracts

  • Smart Contract Programmer – Risks of Upgradeable Contracts

7.3 漏洞分类

  • SWC Registry

  • Smart Contract Programmer – Hack Solidity

目标定位
这是高风险、高收益的审计领域,也是攻击高发区。

Step 8. 智能合约攻击向量(Attack Vectors)

8.1 Secureum 安全陷阱

  • Secureum Security Pitfalls 101

  • Secureum Security Pitfalls 201

目标定位
建立系统性漏洞分类认知,而不是零散记忆。

Step 9. Yul 与底层执行

9.1 底层编程能力

  • Yul

  • Inline Assembly

  • OPCODES

9.2 EVM 执行细节

  • 动态 Gas 成本

  • 内存扩展机制

  • 预编译合约(PRECOMPILES)

目标定位
这是区分普通审计员与顶级审计员的分水岭

Step 10. CTF 实战

10.1 实战平台

  • Ethernaut

  • Capture The Ether

  • CTFs & WriteUps(参考)

目标定位
从“知道漏洞”转变为“能打出漏洞”。

Step 11. DeFi 深度理解

11.1 DeFi 编程与机制

  • Smart Contract Programmer – DeFi

  • Finematics – DeFi

11.2 协议级分析

  • Uniswap v2 / v3 / v4

  • Compound

  • Curve

  • Aave

  • Balancer

  • Gearbox

11.3 稳定币

  • 稳定币机制

  • 算法稳定币

目标定位
理解 DeFi 是经济系统,而不是函数调用集合

Step 12. DeFi 攻击向量

12.1 交易层攻击

  • Front-Running

  • Sandwich Attack

12.2 资金层攻击

  • Flash Loan

  • Price Oracle Manipulation

12.3 项目级风险

  • Rug Pull

  • 无限授权(Unlimited Allowance)

12.4 进阶实战

  • Damn Vulnerable DeFi(完成 Step 10 后)

Step 13. 事故复盘与漏洞修复

13.1 安全研究机构

  • BlockSec

  • Immunefi

  • SlowMist

  • Rekt News

  • PeckShield

13.2 特定模块

  • Staking

  • Vaults

目标定位
通过真实事故理解攻击链的因果关系

Step 14. 审计报告阅读

14.1 Secureum 审计发现

  • Audit Findings 101

  • Audit Findings 201

14.2 顶级审计机构

  • Consensys

  • Trail of Bits

  • OpenZeppelin

  • Code4rena

  • Sherlock

Step 15. 安全标准与规范

15.1 安全规范

  • Rari-Capital Solcurity

  • SCSVS

  • Kaden:Smart Contract Attack Vectors

15.2 协议与规范文档

  • Ethereum Yellow Paper

  • Ethereum Execution Specs

  • Eth Research

  • Scribble

  • Solidity 官方文档

Step 16. EIP / ERC 深入理解

16.1 核心 EIP

  • 150、1559、2929、2930、3198、3529、3675、4399、1153、4758

16.2 核心协议

  • Core:165、1167、1271、2535、2612、2771、2981、4337、4626

  • ERC

  • Interface

  • Meta

16.3 共识规范

  • Ethereum Consensus Specs

Step 17. 安全工具库(Arsenal)

17.1 静态与动态分析

  • Slither

  • Mythril

  • Echidna

  • Manticore

17.2 开发与调试

  • Remix

  • VS Code

  • Foundry

  • Surya

  • Tenderly

17.3 交易分析

  • BlockSec ETH / BSC Tx Analysis

  • ethtx

Step 18. 持续学习与研究

18.1 社区参与

  • Discord 安全社区:Immunefi、Secureum、ETH Security、ETH R&D

18.2 研究与资讯

  • Blockchain Pentesting

  • Blockthreat Newsletter

  • Twitter 跟踪最新攻击与研究

Recent Notes

Graph View