区块链:区块链安全100问 | 第七篇:智能合约审计流程及审计内容

零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

黑龙江“十四五”规划:加强对区块链等领域知识产权保护:近日,黑龙江省人民政府印发《黑龙江省“十四五”知识产权保护和运用规划》,《规划》提出加强对人工智能、移动互联网、区块链等新业态新领域的知识产权保护。加强计算机软件、互联网等领域著作权行政执法工作,强化对大型网站的著作权监管,明确网络服务提供者版权责任,加快网络平台版权审核规范体系建设。构建行政执法、仲裁、调解等电子商务侵权纠纷快速处理机制,发挥调解和仲裁在化解知识产权纠纷中的作用。(新浪网)[2021/12/8 12:58:35]

PART01-智能合约审计流程介绍

为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。

动态 | 芒果互娱采用区块链技术解决IP盗版:据环球网消息,芒果互娱与创无限就IP数字化达成合作,率先在《快乐大本营》落地。由国内专业数字资产登记服务机构中证数登,为《快乐大本营》提供IP数字化登记、授权管理服务,采用区块链技术从源头解决IP盗版、侵权、衍生品销售无法追踪等问题。[2019/4/12]

正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。

动态 | 区块链媒体受众与汽车服务、金融理财等媒体受众人群高度重合:根据移动大数据服务平台TalkingData近日发布的《进击全域互联 掘金垂直场景——2018移动互联网行业报告》,区块链APP是男性主导的领域,75.1%人群为男性,接近一半人群年龄处于26-35岁。这部分人群相比全网人群更加偏好人力资源、汽车服务、餐饮服务、金融理财等媒体。[2019/2/15]

现场丨嘉楠耘智区块链事业部总经理:币价下跌不影响比特币网络的健壮性:金色财经7月17日现场报道,在新加坡”世界区块链峰会暨第二届国际区块链游戏论坛”之“区块链在亚洲:应用、社区、政策”圆桌论坛上,嘉楠耘智区块链事业部总经理邵建良指出,近几年以比特币为代表的加密货币增长十分剧烈,越来越多的人参与到行业之中,行业经过洗礼坚持下来后成就更大事业,区块链与行业开始深入结合。针对币价下跌、挖矿回报不足以支付电费的问题,邵建良指出,2013左右曾经经历“矿难”,很多矿工心态“崩溃”而退场。但比特币算力难度会进行“市场化调剂”,因此对整个数字货币来讲,是有自由推出的经济原理的,一直以来比特币的整个网络没有宕机。币价下跌只影响投资,不影响比特币网络的健壮性。未来的节点形态来讲,PoW目前来看仍是一种比较好的共识机制。门槛低,相对公平,且可以保证数字资产的安全性。[2018/7/17]

智能合约代码审计方式:

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些?

1)以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1)审计报告的封面:

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2)审计概述及项目背景:

概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。

3)合约架构分析:

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4)审计详情:

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:73ms