区块链安全100问 | 第八篇：智能合约自动化审计介绍

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

PART01-智能合约自动化审计介绍

随着区块链技术越来越火，并在不同的行业有所应用，如金融、游戏、版权、溯源等；其中出现过不少的安全问题，尤其是区块链的智能合约发展至今，暴露出的问题不少，智能合约的正确性和安全性面临着巨大的问题；在海量的智能合约中，最好的一种设想就是通过自动化审计来降低人工审计的复杂度。同时市场上有安全公司，也推出各自的智能合约自动化安全审计平台，那么今天我们就来介绍一下智能合约自动化审计。

新加坡区块链协会与戴姆勒东南亚合作推出Acentrik:金色财经报道，新加坡区块链协会 (BAS) 和戴姆勒东南亚宣布通过签署谅解备忘录 (MOU) 建立战略合作伙伴关系，以启动戴姆勒东南亚的战略计划 Acentrik，以解锁数据在企业中的潜力，并在B2B环境中实现基于代币的货币化。

通过这一战略合作伙伴关系，Acentrik和BAS将在相关的区块链计划上进行合作，以与BAS社区内的现有和潜在企业合作。双方还将努力推动企业在跨行业层面采用基于区块链的数据市场，为企业和行业的增长和转型做出贡献。戴姆勒东南亚新兴技术总经理Srikanth Kaja称，我们很高兴能成为BAS的官方合作伙伴，在社区内推动区块链的话题。在Web3.0应用程序和NFT领域，公司内部的采用率在全球范围内呈上升趋势。[2022/7/20 2:25:53]

我们把自动化审计分为三个部分：

浙江省首个产业区块链赋能中心落地宁波江北:11月17日，浙江省首个区块链场景应用产业园——宁波市区块链产业赋能中心在宁波市江北区老外滩正式揭牌。活动现场，区块链赋能中心与宁波轨交、市民卡合作的智慧民生服务链项目，与宁波港易港通合作的宁波港易港通项目，与西南证券、图特科技、图灵奇点合作的区块链金融项目，与广发银行、鄞源公证处合作的在线公证赋强产品项目等4个项目正式签约。（央广网）[2020/11/18 21:08:51]

第一种就是特征代码的匹配；第二类就是基于形态化验证的自动化审计；最后一类是基于符号执行和符号抽象的自动化审计。

1）特征代码匹配

首先特定代码匹配。大家从名字上来看应该就能理解到，其实就是对恶意代码进行一些提取抽象，像我们之前做的代码静态检测，我们抽样成一种语义匹配，然后再去匹配它的静态源代码。

动态 | 山东大学-南洋理工大学人工智能国际联合研究院成立 规划区块链智能等研究方向:据新浪山东报道，7月5日下午，山东大学-南洋理工大学人工智能国际联合研究院在山东大学中心校区揭牌成立。山东大学-南洋理工大学人工智能国际联合研究院由山东大学、新加坡南洋理工大学联合发起建立，属于学校独立直属科研机构。两校结合科研合作基础，发挥各自学科优势，突出双方研究特色，规划了人工智能基础理论、AI健康与乐龄、众智理论与智慧政务、区块链智能、跨媒体智能、智能服务应用研究等重点研究方向。[2019/7/6]

这种审计的方法的优点是显而易见的，比如说速度很快，因为它就是对源码进行一个字符串的匹配。第二是它能够迅速地响应新的漏洞，因为这种审计方法大部分是以插件形式开发，比如出现了一个新的漏洞，我们就可以快速提交一些新的匹配模式。

行情 | 在美上市区块链概念股普涨:今日美股收盘，在美上市区块链概念股普涨。人人网收涨2.44%，寺库收涨1.32%，中网载线收涨40.28%，迅雷收涨0.09%，猎豹移动收跌0.12%，兰亭集势收跌2.73%。[2018/8/3]

那么它的缺点在哪里呢？我们所理解的现在的区块链都应该是公开透明的，但实际情况并不是这样，我们大概做了一个统计，目前在以太坊上其实有超过一半的智能合约是不开源的，只暴露一个OPCODE。

OPCODE的分析对于安全人员来说也面临着巨大的挑战，有些人费了十分大的力气，去逆向OPCODE，这就导致了它的适用范围极为有限。

其次就是漏报率高。因为它的一些静态审计方法其实并不和传统的静态代码审计方法一致，传统的静态审计方法，比如说APP检测，会调用库里面，确定稳定的一些函数，来对它进行审计，但智能合约里面它的一些函数、它一些特征等等，还是变化性比较多的，所以说它的漏报率会比较高。

2）基于形式化验证的自动化审计

使用形式化验证来审计智能合约安全，将EVM编译后的一些OPCODE，通过特定描述语言转化成了一个形式化的model，然后通过形式化model的验证来去判断它代码中的逻辑是否存在问题。

3）基于符号执行、符号抽象的自动化审计

基于符号执行、符号抽象的自动化审计检测出来的数据还是需要人工进行二次确认，这个工作其实是非常繁琐。

PART02-一个出色的智能合约自动化审计系统该满足什么条件？

1）自动化

要求对智能合约的安全审计，要全自动，或者至少是半自动的，即上传合约源代码或提供智能合约的token地址，即可由系统，自动化进行合约的安全扫描。并且能够按需要配置为周期调度自动进行调度审计。

2）准确性

要求对智能合约的安全审计，误报率低。

3）高效率

要求对智能合约的安全审计必须是高效的，即要求审计的时间不能太长，越快越好。

4）无风险

要求对智能合约的安全审计不会破坏或修改原有的合约的功能。

只有做到了以上4点，才是一个基本合格的智能合约自动化审计系统。

除此之外，如果要做得更加的专业，更出色，还需要满足下面的四个需求：

第一、系统具有智能合约的当前标准规范管理；这样一来，使用者可以在系统上传，下载标准规范进行参考。如果说审计出来的安全问题，能与标准规范相对应，并定位到标准规范是最好的，但是当对智能合约安全审计的标准规范不细或缺乏，做到这一点太难了。

第二、系统的使用操作体验要好；简单举例：

可以采用向导式，引导用户熟悉系统的功能操作。

具备用户自定义合约的行业分类以及所属厂商分类等。

审计出来的安全问题，能定位到行列，并至少能提供此安全问题的修正安全，当然，有自动化修正更好，具备自动化修正功能，相应提供保留原内容的版本，以便可进行回退和比较。

第三、易扩展；当前，区块链的平台技术以及安全专家针对区块链智能合约发现的安全问题的checklist是不断演进的，系统应很好的解决这方面的需求，就需要系统有一个很好的易扩展的设计要求。

第四、对安全审计结果报告展现丰富；能导出PDF，EXCEL，WORD，HTML格式是必需的，报告的展现应有图表，表格元素的体现，当然，要做好这点，需要你对系统的使用方有更多的了解，针对用户做些定制他们关注的报告就更出彩了；报告出彩的功能还可以是报告中有审计历史对比趋势分析等。

标签：区块链ODECODEPCO区块链dapp开发pdfgode币价格今日行情DECODE价格FILIPCOIN

MANA热门资讯