阶段五：安全与工程化

智能合约一旦部署难以修补，安全不是可选项。本阶段建立审计思维与工程习惯，并能阅读典型漏洞案例。

学习目标

• 熟悉常见漏洞类别：重入、访问控制错误、整数问题（历史）、闪电贷辅助攻击、前端/链下签名伪造、代理与存储槽冲突等。
• 理解 Checks-Effects-Interactions、pull 付款 等模式的使用场景。
• 了解 升级模式：透明代理、UUPS、Beacon 的取舍与存储布局风险（定性 + 会查文档）。
• 能阅读 公开审计报告 的结构：范围、严重性、建议、修复状态。

核心实践

• 静态分析：Slither 等工具跑在 CI；工具报的不一定真漏洞，但可培养嗅觉。
• 形式化与符号执行：进阶方向；可先了解业界用法再决定是否深入。
• 密钥与运维：多签（Gnosis Safe 等）、时间锁、紧急暂停（pause）与中心化权衡。
• 漏洞赏金与披露：负责任披露流程；不要在主网随意「测试」他人资产。

实践任务

1. 完成 Ethernaut 或 Damn Vulnerable DeFi 中至少 3 关，写出每关攻击路径与修复思路。
2. 选一个 中等严重性的历史漏洞（公开 postmortem），用一页纸总结：根因、利用步骤、补丁。
3. 为自己的小项目加 Slither（或 Mythril 等）并在 README 记录已知告警与处理方式。

自检清单

• 能解释重入攻击与 CEI 模式的关系。
• 能说明「代理合约升级」为何可能破坏存储布局。
• 能列举至少三种针对用户的链上钓鱼形态（假授权、假空投、克隆站点等）。

延伸阅读

• SWC Registry（智能合约弱点分类）
• Consensys：智能合约最佳实践

上一阶段：阶段四：DeFi、NFT 与治理｜下一阶段：阶段六：进阶与协议视野