買以太坊 買以太坊
Ctrl+D 買以太坊
ads

OPC:區塊鏈安全100問 | 第八篇:智能合約自動化審計介紹_區塊鏈

Author:

Time:1900/1/1 0:00:00

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段,面臨的安全風險種類繁多,從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

PART01-智能合約自動化審計介紹

隨著區塊鏈技術越來越火,并在不同的行業有所應用,如金融、游戲、版權、溯源等;其中出現過不少的安全問題,尤其是區塊鏈的智能合約發展至今,暴露出的問題不少,智能合約的正確性和安全性面臨著巨大的問題;在海量的智能合約中,最好的一種設想就是通過自動化審計來降低人工審計的復雜度。同時市場上有安全公司,也推出各自的智能合約自動化安全審計平臺,那么今天我們就來介紹一下智能合約自動化審計。

區塊鏈概念股逆市走高 MicroStrategy漲超6%:行情顯示,美股異動,區塊鏈概念股逆市走高,MicroStrategy漲超6%,Riot Blockchian漲4.48%,Marathon Digital漲3.34%,Coinbase漲2.22%,區塊鏈ETF BLOK漲0.11%。[2022/7/6 1:53:24]

我們把自動化審計分為三個部分:

第一種就是特征代碼的匹配;第二類就是基于形態化驗證的自動化審計;最后一類是基于符號執行和符號抽象的自動化審計。

1)特征代碼匹配

首先特定代碼匹配。大家從名字上來看應該就能理解到,其實就是對惡意代碼進行一些提取抽象,像我們之前做的代碼靜態檢測,我們抽樣成一種語義匹配,然后再去匹配它的靜態源代碼。

商業咨詢公司Zventus成立“抵押區塊鏈實驗室”:商業咨詢公司Zventus周一宣布了一項名為“抵押區塊鏈實驗室”的新區塊鏈計劃。 該實驗室旨在整合多位抵押貸款專家、技術公司和學術機構的資源,以合作開展專注于抵押貸款行業的區塊鏈研究和開發。該公司的早期報告表明,一旦服務推出,金融機構的貸款成本將降低50%以上。自2016年成立以來,Zventus已擴展到180個國家,并提供220種語言的服務。(Cointelegraph)[2021/8/31 22:48:21]

這種審計的方法的優點是顯而易見的,比如說速度很快,因為它就是對源碼進行一個字符串的匹配。第二是它能夠迅速地響應新的漏洞,因為這種審計方法大部分是以插件形式開發,比如出現了一個新的漏洞,我們就可以快速提交一些新的匹配模式。

聲音 | 中國經營報:區塊鏈已成大國競爭新賽場:11月2日,中國經營報刊文《區塊鏈已成大國競爭新賽場》。文章表示,區塊鏈成為大國競相出臺的戰略,其主要原因在于區塊鏈技術的應用對已有的秩序所帶來的顛覆性改革,尤其是在金融領域。 區塊鏈技術競爭關乎前途命運,政府與市場之間必須要合理分工,相對清晰界定政府和企業的邊界,進一步激發企業主體的積極性。對政府而言,重要的是加強區塊鏈技術的基礎設施建設,進一步完善制度環境。首先,要加強數字安全領域的集成研究。區塊鏈技術尚有很多待改進的空間,各種隱私數據分布在不同機構中,在隱私保護上還需要進一步研究,實現數據“可用不可見”。其次,要逐步統一標準。區塊鏈標準是未來行業頂層設計的需要,目前,美國、日本等國家也已著手區塊鏈國家標準,我們要搶抓區塊鏈標準國際化的主動權,提出中國標準。最后,建立國家公共服務大平臺。當前各種區塊鏈系統開發集中在功能層面,缺乏大平臺支撐,增大了企業運維難度,可以建立國家基礎平臺,全面監測區塊鏈系統的運行健康狀態,為企業運行維護提供公共服務。[2019/11/2]

那么它的缺點在哪里呢?我們所理解的現在的區塊鏈都應該是公開透明的,但實際情況并不是這樣,我們大概做了一個統計,目前在以太坊上其實有超過一半的智能合約是不開源的,只暴露一個OPCODE。

人大教授楊東:區塊鏈技術中立,并無直接金融法律風險:中國人民大學大數據區塊鏈與監管科技實驗室主任楊東,區塊鏈作為一種技術工具,是技術中立的,不直接存在金融和法律上的風險,而目前的關停交易平臺與當前大力發展區塊鏈并不沖突。對風險的監控和治理,并不代表我們拒絕創新。區塊鏈應用與發展具有廣闊的前景。[2018/3/8]

OPCODE的分析對于安全人員來說也面臨著巨大的挑戰,有些人費了十分大的力氣,去逆向OPCODE,這就導致了它的適用范圍極為有限。

其次就是漏報率高。因為它的一些靜態審計方法其實并不和傳統的靜態代碼審計方法一致,傳統的靜態審計方法,比如說APP檢測,會調用庫里面,確定穩定的一些函數,來對它進行審計,但智能合約里面它的一些函數、它一些特征等等,還是變化性比較多的,所以說它的漏報率會比較高。

2)基于形式化驗證的自動化審計

使用形式化驗證來審計智能合約安全,將EVM編譯后的一些OPCODE,通過特定描述語言轉化成了一個形式化的model,然后通過形式化model的驗證來去判斷它代碼中的邏輯是否存在問題。

3)基于符號執行、符號抽象的自動化審計

基于符號執行、符號抽象的自動化審計檢測出來的數據還是需要人工進行二次確認,這個工作其實是非常繁瑣。

PART02-一個出色的智能合約自動化審計系統該滿足什么條件?

1)自動化

要求對智能合約的安全審計,要全自動,或者至少是半自動的,即上傳合約源代碼或提供智能合約的token地址,即可由系統,自動化進行合約的安全掃描。并且能夠按需要配置為周期調度自動進行調度審計。

2)準確性

要求對智能合約的安全審計,誤報率低。

3)高效率

要求對智能合約的安全審計必須是高效的,即要求審計的時間不能太長,越快越好。

4)無風險

要求對智能合約的安全審計不會破壞或修改原有的合約的功能。

只有做到了以上4點,才是一個基本合格的智能合約自動化審計系統。

除此之外,如果要做得更加的專業,更出色,還需要滿足下面的四個需求:

第一、系統具有智能合約的當前標準規范管理;這樣一來,使用者可以在系統上傳,下載標準規范進行參考。如果說審計出來的安全問題,能與標準規范相對應,并定位到標準規范是最好的,但是當對智能合約安全審計的標準規范不細或缺乏,做到這一點太難了。

第二、系統的使用操作體驗要好;簡單舉例:

可以采用向導式,引導用戶熟悉系統的功能操作。

具備用戶自定義合約的行業分類以及所屬廠商分類等。

審計出來的安全問題,能定位到行列,并至少能提供此安全問題的修正安全,當然,有自動化修正更好,具備自動化修正功能,相應提供保留原內容的版本,以便可進行回退和比較。

第三、易擴展;當前,區塊鏈的平臺技術以及安全專家針對區塊鏈智能合約發現的安全問題的checklist是不斷演進的,系統應很好的解決這方面的需求,就需要系統有一個很好的易擴展的設計要求。

第四、對安全審計結果報告展現豐富;能導出PDF,EXCEL,WORD,HTML格式是必需的,報告的展現應有圖表,表格元素的體現,當然,要做好這點,需要你對系統的使用方有更多的了解,針對用戶做些定制他們關注的報告就更出彩了;報告出彩的功能還可以是報告中有審計歷史對比趨勢分析等。

Tags:區塊鏈ODEOPCCOD區塊鏈證據保全怎么操作的node幣創始人放棄nodetopc幣怎么樣CODEX價格

火幣下載
數字貨幣:證券時報:數字人民幣將成為安全普惠零售支付基礎設施_數字貨幣交易所開發需要多少人多少錢

來源:證券時報 作者:王君暉 近日,央行首次披露數字人民幣研發情況,隨著數字人民幣從理論走向現實,中國在該領域的實踐已走在全球前列.

1900/1/1 0:00:00
SDT:晚間必讀 | 一文了解ZKWasm及其最新進展_USDT

1.再質押協議EigenLayer測試網交互指南以太坊質押的下一個重頭戲是EigenLayer,這是一種新的“再質押”協議,有望為以太坊質押者帶來大量新的盈利機會.

1900/1/1 0:00:00
PIC:不依賴人類反饋來評估反應?一文淺談 Anthropic 的“憲法 AI”技術_pickle幣未來多少錢一個

來源:ArsTechnica 編譯:巴比特 圖片來源:由無界AI工具生成周二,人工智能初創公司Anthropic詳細介紹了其“憲法AI”訓練方法的具體原則.

1900/1/1 0:00:00
ORI:智利央行將在明年年初確定數字貨幣戰略_RIO

據路透社消息,智利央行行長MarioMarcel周一表示,智利央行將在2022年初就可能推出數字貨幣的戰略做出決定,因為全球政策制定者都在尋求跟上加密貨幣的步伐.

1900/1/1 0:00:00
PIC:開卷!Anthropic Claude 模型升級到 10 萬 token,可將《了不起的蓋茨比》整本吞下_AUD

撰文:KyleWiggers來源:TechCrunch 圖片來源:由無界AI工具生成從歷史上看,甚至在今天,記憶力差一直是阻礙文本生成式人工智能發揮作用的一個因素.

1900/1/1 0:00:00
IGC:“首屆溫州鞋服產業AIGC設計大賽”開始了,如何參賽看這里!_區塊鏈運用的技術中不包括哪一項基本技術

2023年4月,溫州多家科研機構、科技公司和社會組織共同發起了溫州AIGC產業聯盟,并與溫州市服裝商會共同發起“首屆溫州鞋服產業AIGC設計大賽”活動.

1900/1/1 0:00:00
ads