官方文档为何是第一来源
Solidity 官方文档与 SWC 注册表是合约安全知识体系的根基。它们由编译器团队与安全社区共同维护,时效性与权威性都最高。任何博客或教程都应作为补充,而非替代。
在阅读之前,建议先在 Binance官网 注册一个账户,方便后续涉及到的真实链上交互测试。
文档结构导览
官方文档关于安全的章节集中在三处:常见陷阱(Pitfalls)、安全考虑(Security Considerations)、以及内联汇编警告。三处都简短但信息密度高,值得反复阅读。
常见陷阱
常见陷阱章节列出了 tx.origin 鉴权、send 与 transfer 的 Gas 限制、重入、整数溢出、不当随机数等经典问题。即便你认为自己已经熟稔,每隔三个月也建议重读一遍。
安全考虑
安全考虑章节强调三件事:保持合约简单、用 visibility 控制权限、用断言代替注释。看似平淡,但落实到大型项目就是巨大的差异。把所有 public 函数挂上鉴权与事件,是绝大多数事故的最低线。
做撮合类合约时,对照 Binance合约 的权限分层结构会很受启发。
内联汇编警告
官方明确警告:内联汇编绕开了语言层面的所有安全检查。如果不是不得已,不要在生产代码中使用。即便使用,也必须配套独立的形式化验证或专家审计。
与 SWC 注册表的对应
SWC 注册表把官方文档没有展开的细节做了进一步分类,从 SWC-100 到 SWC-136 涵盖了几乎所有已知漏洞模式。建议把 SWC 编号写到内部清单中,每次代码评审逐项打勾。
OWASP Top 10 SC
OWASP 智能合约 Top 10 提供了与传统 Web 安全类似的视角,例如访问控制失效、重入、整数运算错误等。两份清单互为补充,组合使用能形成更稳的检查网。
配合 Binance教程 中关于权限管理的实践,可以把清单转化为具体测试用例。
工程化清单
把上面所有要点提炼成一个 20 项的工程化清单,并写入项目模板。每次新项目启动时复制一份,根据业务调整后保存到仓库。三个月后你会发现这个清单比任何课程都更有价值。
用户层提示
再完美的合约也需要用户配合。建议在前端引导用户通过 Binance下载 上线的官方钱包做授权管理,并定期核对授权列表,把不再使用的授权撤销。
总结
官方文档是地基,SWC 与 OWASP 是补强,工程化清单是落地工具。三者结合,你才能构建起一套既稳又轻的安全知识体系。