宇宙链 宇宙链
Ctrl+D收藏宇宙链

区块链安全100问 | 第七篇:智能合约审计流程及审计内容

作者:

时间:1900/1/1 0:00:00

零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

现场 | 教育部高等教育司巡视员刘凤泰:区块链、人工智能等新型技术进入课堂:9月25日,在外滩大会上,教育部高等教育司巡视员兼教育部高等教育教学评估中心主任刘凤泰指出,知识共享是时代的主题,产业界与教育界的协同创新已在中华大地成主要的趋势,物联网、5G、数字技术的发展加速了发展趋势,本次疫情又倒逼了数字经济的发展。现今应用型知识的构建与科技龙头企业结合,人工智能、物联网、区块链、数据分析等新型技术进入课堂。企业与高校共同进行科研创新,完善教学体系建设,接地气的培养高质量人才。[2020/9/25]

PART01-智能合约审计流程介绍

为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。

民生银行贵阳分行:注意防范打着区块链旗号的非法集资:5月14日,中国民生银行贵阳分行发布打击防范非法集资应知应会宣传提示,提醒市民注意防范一些不法分子打着“金融创新”区块链的旗号,通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金,避免公众合法权益受到侵害。

中国民生银行贵阳分行提示,此类活动并非真正基于区块链技术,而是炒作区块链概念行非法集资、、之实,其以“金融创新”为噱头,实质是“借新还旧”的庞氏局,资金运转难以长期维系。请广大公众理性看待区块链,不要盲目相信承诺,要树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。(人民网)[2020/5/15]

正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。

阿里巴巴在巴西注册区块链交易系统专利:中国电子商务巨头阿里巴巴已在巴西注册了基于区块链的系统专利,名称为“蚂蚁独角兽”(Ant Unicorn),类别为“保险”、“金融业务”和“货币业务”。在财务解决方案方面,该专利涵盖房地产服务、信用卡支付系统、发票处理以及加强处理交易的安全性。该报告没有具体说明该系统是否将在巴西实施。(cointelegraph)[2020/3/12]

动态 | 人民数据资产服务平台启动,利用区块链等技术建立行业规范和黑名单机制:9月24日,由人民数据管理有限公司推出的人民数据资产服务平台启动。人民数据管理有限公司总经理助理、人民数据资产服务平台负责人李春莹表示,人民数据资产服务平台以数据源认证平台、数据流通登记平台、数据交易服务平台、数据流通监管平台组成,其通过数据提供方、加工方、交易平台、使用者、监管机构的密切联系和合作,建立统一的数据赋权标准、数据类目管理、数据加密规范、数据流通交易安全体系,并且利用区块链等新兴技术,有效实现合法数据流通和非法数据流通的辨识,建立行业规范和黑名单机制。(光明网)[2019/9/24]

智能合约代码审计方式:

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些?

1)以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1)审计报告的封面:

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2)审计概述及项目背景:

概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。

3)合约架构分析:

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4)审计详情:

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。

标签:区块链PARPARTART区块链币圈币种知识大全ParaboxParticlSPARTA

Gate交易所热门资讯
报告:区块链市场规模到2028年有望达1729亿美元,复合年增长率达66%

据VirtualStrategy8月24日报道,根据ReportsandData最新报告显示,到2028年,全球区块链技术市场规模有望达到1729亿美元,复合年增长率达66%.

1900/1/1 0:00:00
详解:数字人民币在公共交通领域的发展和思考

来源:移动支付网 作者:佘云峰 近日,数字人民币的试点应用逐渐拓展,成都、苏州、北京的地铁相继支持数字人民币的购票支付方式,公共交通领域显然成为了数字人民币的一个典型应用场景.

1900/1/1 0:00:00
数据:EIP-1559实施后以美元计算的以太坊矿工收入实际增长7.1%

据CoinDesk8月11日报道,上周四,EIP-1559与捆绑在以太坊“伦敦”升级中的其他四个EIP一起被激活,到目前为止,约有26756.06枚ETH被销毁,占到新代币供应增长的33%.

1900/1/1 0:00:00
数据:OpenSea主宰NFT交易市场,8月份交易额已超22亿美元

来源:TheBlockResearch正如TheBlock的数据仪表板所显示的那样,7月份NFT市场的交易量刚刚超过3亿美元.

1900/1/1 0:00:00
RNDR将用NFT保存《星际迷航》珍贵史料和奋进号3D模型

巴比特讯,在《星际迷航》创作者吉恩·罗登伯里诞辰100周年即将到来之际,RNDR渲染网络母公司OTOY与吉恩·罗登伯里庄园.

1900/1/1 0:00:00
加密交易平台Bitpanda以41亿美元估值完成2.63亿美元C轮融资,Valar Ventures领投

据Sifted8月17日消息,加密交易平台Bitpanda以41亿美元估值完成2.63亿美元C轮融资,PeterThiel的ValarVentures领投.

1900/1/1 0:00:00