Web3 应用安全工程师考试试卷及答案

Web3应用安全工程师考试试卷及答案一、填空题（每题1分，共10分）1.以太坊智能合约地址生成使用的哈希算法是______。2.Solidity中限制函数仅由所有者调用的修饰符是______。3.重入攻击利用的核心是外部调用未完成时的______特性。4.零知识证明的英文缩写是______。5.ERC20代币授权转账的函数是______。6.合约接收ETH的默认无参函数是______。7.Uniswap的核心做市机制是______。8.私钥签名生成的验证凭证是______。9.Solidity0.8.0+自动处理的数值漏洞是______。10.常用智能合约静态分析工具是______（举一例）。二、单项选择题（每题2分，共20分）1.以下哪种是重入攻击变体？A.整数溢出B.闪电贷攻击C.权限绕过D.前端钓鱼2.Solidity中传递所有gas的调用是______。A.call()B.send()C.transfer()D.delegatecall()3.ERC721属于______代币。A.同质化B.非同质化C.稳定币D.治理币4.智能合约常见漏洞是______。A.缓冲区溢出B.XSSC.重入D.SQL注入5.最安全的私钥存储方式是______。A.交易所热钱包B.硬件钱包C.插件钱包D.服务器内存6.SNARK的全称是______。A.简洁非交互式零知识证明B.交互式ZKPC.聚合签名D.同态加密7.跨链通信协议是______。A.CosmosIBCB.ERC20C.ERC721D.BEP208.标记合约不可升级的修饰符是______。A.immutableB.pureC.viewD.payable9.前端钓鱼属于______安全威胁。A.合约漏洞B.链下C.共识D.密码学10.动态漏洞检测工具是______。A.EchidnaB.SlitherC.MythXD.Remix三、多项选择题（每题2分，共20分）1.智能合约常见漏洞包括______。A.重入B.整数溢出C.权限绕过D.前端钓鱼2.Web3钱包类型有______。A.硬件钱包B.软件钱包C.冷钱包D.热钱包3.ERC20核心函数包括______。A.transfer()B.approve()C.transferFrom()D.mint()4.零知识证明应用场景有______。A.隐私交易B.身份验证C.跨链D.共识5.跨链协议包括______。A.CosmosIBCB.PolkadotXCMPC.BridgeD.ERC11556.影响合约状态的函数是______。A.viewB.pureC.payableD.普通函数7.智能合约审计步骤有______。A.静态分析B.动态测试C.代码审查D.共识验证8.Web3安全威胁包括______。A.私钥泄露B.合约漏洞C.前端钓鱼D.网络拥塞9.硬件钱包优势是______。A.私钥离线B.防恶意软件C.多链支持D.自动备份10.闪电贷特点是______。A.无抵押B.同区块还款C.套利工具D.DeFi功能四、判断题（每题2分，共20分）1.Soliditytransfer()失败会抛异常。（）2.重入攻击仅发生在转账场景。（）3.ERC721代币唯一。（）4.硬件钱包私钥联网存储。（）5.ZKP可证明信息不泄露。（）6.Solidity0.8.0+自动处理溢出。（）7.前端钓鱼不影响链上合约。（）8.CosmosIBC支持跨链资产转移。（）9.delegatecall()使用调用者上下文。（）10.个人无法审计智能合约。（）五、简答题（每题5分，共20分）1.简述重入攻击原理及防范措施。2.什么是ERC20标准？核心函数有哪些？3.Web3钱包分类及特点？4.ZKP在Web3中的应用场景？六、讨论题（每题5分，共10分）1.讨论闪电贷攻击的常见场景及应对策略。2.讨论智能合约审计的局限性及改进方向。---答案部分一、填空题答案1.Keccak-2562.onlyOwner3.回调（fallback）4.ZKP5.approve()6.fallback()7.恒定乘积做市商（CPMM）8.数字签名9.整数溢出/下溢10.Slither（或MythX、Remix等）二、单项选择题答案1.B2.A3.B4.C5.B6.A7.A8.A9.B10.A三、多项选择题答案1.ABC2.ABCD3.ABC4.ABCD5.ABC6.CD7.ABC8.ABC9.ABC10.ABCD四、判断题答案1.对2.错3.对4.错5.对6.对7.对8.对9.对10.错五、简答题答案1.重入攻击原理及防范原理：合约执行外部转账时，未先更新余额等状态，外部合约通过fallback函数再次调用转账逻辑，重复获利。防范：①先更新状态（Checks）再执行外部调用（Interactions）；②用ReentrancyGuard加锁；③限制外部调用gas（如send/transfer）。2.ERC20标准及核心函数ERC20是以太坊同质化代币通用标准，确保跨应用兼容。核心函数：①balanceOf()查询余额；②transfer()转账；③approve()授权；④transferFrom()代理转账；⑤totalSupply()查总supply。3.Web3钱包分类及特点①硬件钱包（Ledger）：私钥离线，安全最高；②软件钱包（MetaMask）：联网便捷，风险较高；③冷钱包：离线存储，安全但操作慢；④热钱包：联网，用于日常交易。4.ZKP应用场景①隐私交易（Zcash匿名转账）；②身份验证（证明身份不泄露信息）；③跨链（验证资产转移不公开细节）；④治理投票（防votebuying）；⑤存储（验证数据完整性不泄露内容）。六、讨论题答案1.闪电贷攻击场景及应对场景：①价格操纵（DEX套利）；②重入攻击；③清算操纵（DeFi借贷）。应对：①协议加价格预言机抗操纵（多数据源）；②审计重点审查闪电贷依赖；③禁止闪电贷用于