所谓的形式化验证,简单而言就是用数学工具进行验证的方法,把代码编成数学模型,从设计到实现整个流程,通过证明手段来证明代码是完备安全的。
形式化验证作为成都链安的核心技术之一,已经帮助上千份智能合约解决安全问题。可能很多人会问,为什么人工不能检测到的问题,形式化验证可以呢?
这是因为,对于形式化验证,可以无需理解合约具体实现的细节,无需构造特定的场景,无需数据枚举;通过逻辑关系凝练出可复用的安全属性,对合约每条路径都会进行严谨的数学公式推理,自动检测每个可能的系统状态及操作,计算出可满足的解,并根据求解结果对比是否违反安全属性最终检测出每条路径下可能存在的安全问题。
以太坊未确认交易为185,965笔:金色财经消息,据OKLink数据显示,以太坊未确认交易185,965笔,当前全网算力为723.74TH/s,全网难度为9.77P,当前持币地址为66,004,395个,同比增加144,772个,24h链上交易量为1,191,778ETH,当前平均出块时间为13s。[2021/10/26 6:12:33]
以太坊合并“后时代”,智能合约安全同样不可忽视,今天,我们为大家准备了一个以太坊生态的案例,看看下面这份合约是如何在我们的智能合约形式化验证平台“链必验”检测出漏洞的。
链必验,是一款全球领先的“一键式”智能合约形式化验证平台。检测准确率高达97%以上,精确定位风险代码位置并给出修改建议,自动检测智能合约80余项的常规安全漏洞及功能逻辑缺陷。现已拥有生态用户10万+,是全球首套同时支持蚂蚁链、腾讯区块链、FISCO-BCOS、Fabric等的智能合约形式化验证平台。可以极大提高智能合约的人工审计效率,有效降低安全隐患遗漏风险。
以太坊2.0质押量达71.5万枚,目前收益率为19.64%:Staking Rewards数据显示,目前在以太坊2.0存款地址中质押的以太坊数量达71.5万枚,该软件显示目前收益率为19.64%。据以太坊2.0质押收益率表格显示,当以太坊质押数为524288枚时,收益率为22.95%,而当以太坊质押数量达到100万枚时收益率将降至16.62%。[2020/11/25 22:06:37]
01.
准备需要验证的示例Wizard_game.sol
说明:
原合约为以太坊上真实存在的一个巫师决斗合约。为了看起来简单明了并且能够使用形式化检测验证问题,本合约根据逻辑关系只保留巫师决斗超时的处理接口;
resolveTimedOutDuel是更新处理超时情况下的巫师决斗结果的接口;
动态 | 以太坊未确认交易39755笔:据Etherscan.io数据显示,以太坊未确认交易39755笔。当前挖矿难度2439.19 TH,交易处理能力7.4 TPS。截至目前以太坊全球均价为174.12美元,最近24小时涨幅为1.08%。[2019/10/22]
其中每个巫师有自己的决斗场和决斗能量;
若巫师1满足胜利条件,则将巫师2的决斗能量转移给巫师1,再将巫师2的决斗能量清零。
2.合约上传
新增项目
在“链必验”工具中创建需要检测的项目。本次检测的项目为ETH类型项目,那么根据需求点击工具左上方“新增项目”按钮,输入项目名称,选择项目类型,点击确定。
以太坊的顶级开发人员认为区块链分裂可能是不可避免的:据coindesk消息,上周晚些时候,以太坊开发者会议上讨论了一个名为EIP 999的有争议的代码提案,导致一些人猜测以太坊可能正处于区块链分裂的边缘。赞成该提案的人指出由于错误的合同导致ETH频繁的损失,他们认为该平台应该确保避免这种可避免的错误。但另一方面,许多人警告说,部署该提案后,编辑代码不仅会损害安全性,还会损害平台的完整性。对此,莱特币创始人李启威在其社交媒体评论称,以太坊可能会分裂成两支队伍。社区中一般的人想要实施这一提案来“拯救”ETH,另一半则想要保持不变。两方的观点是对立的,但没有人预测这种分裂的情况将会发生。[2018/4/25]
新增合约文件夹
选择刚创建好的项目,点击工具左上方的“新增合约文件夹”按钮,输入文件夹名称。
上传合约文件
选择刚创建好的文件夹,点击工具左上方的“上传”按钮,上传准备好检测的合约文件。
3.合约检测
新增项目
将待检测合约上传完成之后,选择此合约,按照合约内容输入检测参数,然后点击开始检测。
4.查看结果
待合约检测完成之后,查看检测结果,通过代码定位、错误描述、修复建议了解明确该漏洞的具体信息,然后查看代码逻辑寻找问题并进行修复。
5.结果分析
经分析,产生此漏洞的原因是在执行resolveTimedOutDuel接口更新巫师1和巫师2的决斗属性时,未考虑巫师1和巫师2相等的情况,在此场景下,巫师1的决斗能量会先翻倍,然后再清零,导致巫师1状态更新前后总的决斗能量发生了改变,所以导致了assert断言的失败。
6.问题解决
此时在resolveTimedOutDuel接口中添加一个限制条件“require(wizardId1!=wizardId2);”,确保在执行决斗属性更新时巫师1和巫师2不相等,查看是否还存在此问题。
7.漏洞检测难度人工难以察觉,随机测试难以出现这种情况
对于智能合约的验证,通常是伴随人工验证,靠自身经验不断尝试枚举各项可能不满足的输入条件,从而比对输出来判断是否存在漏洞;其存在的问题就是人工成本昂贵,测试时无法覆盖到所有的路径,测试具有一定的机械性、重复性、工作量往往较大。
而对于智能合约的另外一种验证方式-fuzzing模糊测试,虽然可以解决人工成本昂贵的问题,但是由于其没有实际执行规则机制原因,仅靠“蛮力”不断枚举各个输入,同样存在可能出现某种输入漏掉的问题,并且无法根据路径检测出一些逻辑性的漏洞。
在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力。
如果只是你一个人,四顾茫然,发现一个人都没有,想在这个行业里面坚持下来其实是很难的。
想抱团取暖,或者有疑惑的,欢迎加入!
感谢阅读,喜欢的朋友可以点个赞关注哦,我们下期再见!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。