链资讯 链资讯
Ctrl+D收藏链资讯
首页 > FIL币 > 正文

BOB:区块链安全100问 | 第七篇:智能合约审计流程及审计内容_ICE

作者:

时间:

零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

动态 | 中科金财:正在金融、政务监管、民生三大领域进行区块链应用的探索:中科金财(002657)在互动平台回答投资者提问时表示:公司一直以来高度关注区块链技术的应用及发展,在区块链技术及应用等领域进行积极研究,目前公司已经取得了多项计算机软件著作权。公司连续三年发布《中国区块链发展报告》,该书由中国人民银行等权威机构指导,中国社科院授权出版,公司董事长朱烨东担任执行主编。12月24日,公司入选深圳证券交易所发布的深证区块链50指数样本股。目前,公司正在金融、政务监管、民生三大领域进行区块链应用的探索。[2020/1/11]

PART01-智能合约审计流程介绍

动态 | 苏宁与阳澄湖大闸蟹行业协会合作 引入区块链商品溯源防伪系统:据新华网消息,苏宁零售集团与苏州阳澄湖大闸蟹行业协会推出联合定制装,引入区块链商品溯源防伪系统,对生产、加工、运输、流通、零售等环节跟踪记录,从源头保证了大闸蟹的规格和品质。[2018/9/27]

为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。

正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。

动态 | 汇桔网布局IAB、区块链等知识产权交易与服务:据光明网报道,近日汇桔网签署战略协议,将合作打造广州区块链知识产权保护与交易服务中心、广州新一代信息技术知识产权保护与交易服务中心,这是继人工智能、生物医药行业后,汇桔网在信息技术、区块链领域的深度布局,将加速四大行业的知识产权流通与保护。[2018/9/19]

智能合约代码审计方式:

-了解智能合约协议的逻辑运转流程

声音 | 国贸促进委员会原副会长:区块链技术将简化跨境贸易流程:据中新网报道,中国国际贸易促进委员会原副会长于平表示,如果能利用区块链技术提高跨境支付效率,提升安全度,将会大大推动国际贸易的发展,并对全球贸易产生更加深远的影响。区块链的应用让进出口商颇为受益,帮助他们获取欠缺的财政支持。[2018/8/7]

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些?

1)以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1)审计报告的封面:

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2)审计概述及项目背景:

概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。

3)合约架构分析:

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4)审计详情:

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。

标签:BOBALICEALIICESBOB币alice币还有长期价值吗SALINAice币发行总量

FIL币热门资讯
NFT:费利科技创始人陈星煜:关注好项目,好的生态和共识度,这是投资的逻辑底层丨2021世界区块链大会_BAPTOS

巴比特讯,7月25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心开幕。本次大会由杭州时戳信息科技有限公司主办.

NFT:NFT游戏Axie Infinity7月份DAU突破80万,将推出AXS质押和战斗系统Battles V2_aptos币价最高

巴比特讯,NFT游戏AxieInfinity今日发布7月份发展更新:1.Axie协议在过去30天内产生的费用超过了任何其他加密产品,包括比特币和以太坊.

BOB:科普 | 理解闪电网络:结算并关闭支付通道_ICE

原文标题:《UNDERSTANDINGTHELIGHTNINGNETWORK,PART3:COMPLETINGTHEPUZZLEANDCLOSINGTHECHANNEL》原文作者:AARONVA.

BOB:RRMine 华东地区负责人方焰:去中心化存储迎来了巨大的机会丨2021世界区块链大会·杭州_ALICE

7月25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心举行。本次大会由杭州时戳信息科技有限公司主办.

COI:专注于Web 3领域投资公司Folius Ventures拟融资5000万美元_BIC

据TheBlock8月19日消息,FoliusVenturesLLC是一家专注于Web3领域的投资公司,如今已经秘密运营数月.

SDC:慢雾:Punk Protocol被攻击因其CompoundModel合约Initialize函数未做重复初始化检查_COI

据慢雾区消息,去中心化年金协议PunkProtocol在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:1.攻击者调用CompoundModel合约的Initialize函数.