BOB:区块链安全100问 | 第七篇：智能合约审计流程及审计内容_ICE

作者：

时间：

零时科技区块链安全100问正式上线，以通俗易懂的语言形式为大家讲解区块链行业知识，以及区块链生态应用存在的安全问题，让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

动态 | 中科金财：正在金融、政务监管、民生三大领域进行区块链应用的探索:中科金财（002657）在互动平台回答投资者提问时表示：公司一直以来高度关注区块链技术的应用及发展，在区块链技术及应用等领域进行积极研究，目前公司已经取得了多项计算机软件著作权。公司连续三年发布《中国区块链发展报告》，该书由中国人民银行等权威机构指导，中国社科院授权出版，公司董事长朱烨东担任执行主编。12月24日，公司入选深圳证券交易所发布的深证区块链50指数样本股。目前，公司正在金融、政务监管、民生三大领域进行区块链应用的探索。[2020/1/11]

PART01-智能合约审计流程介绍

动态 | 苏宁与阳澄湖大闸蟹行业协会合作引入区块链商品溯源防伪系统:据新华网消息，苏宁零售集团与苏州阳澄湖大闸蟹行业协会推出联合定制装，引入区块链商品溯源防伪系统，对生产、加工、运输、流通、零售等环节跟踪记录，从源头保证了大闸蟹的规格和品质。[2018/9/27]

为了检查合约的安全性，一般会测试多种攻击，模拟多种攻击场景，通过标准审计流程进行安全审查，以确保合约是否安全。

正常审计流程应包括前期应用审计的需求沟通，比如审计合约内容、审计时间、审计预算等；确定审计需求后需要签订协议、达成共识；然后安全团队开始安全审计，以及审计报告的输出，开发团队针对报告中的安全问题进行修复，安全团队协助修改后的复测，确保安全问题已修复，提升合约的安全性。

动态 | 汇桔网布局IAB、区块链等知识产权交易与服务:据光明网报道，近日汇桔网签署战略协议，将合作打造广州区块链知识产权保护与交易服务中心、广州新一代信息技术知识产权保护与交易服务中心，这是继人工智能、生物医药行业后，汇桔网在信息技术、区块链领域的深度布局，将加速四大行业的知识产权流通与保护。[2018/9/19]

智能合约代码审计方式：

-了解智能合约协议的逻辑运转流程

声音 | 国贸促进委员会原副会长：区块链技术将简化跨境贸易流程:据中新网报道，中国国际贸易促进委员会原副会长于平表示，如果能利用区块链技术提高跨境支付效率，提升安全度，将会大大推动国际贸易的发展，并对全球贸易产生更加深远的影响。区块链的应用让进出口商颇为受益，帮助他们获取欠缺的财政支持。[2018/8/7]

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些？

1）以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2）EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门