前言
当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。
PART01-智能合约自动化审计介绍
随着区块链技术越来越火,并在不同的行业有所应用,如金融、游戏、版权、溯源等;其中出现过不少的安全问题,尤其是区块链的智能合约发展至今,暴露出的问题不少,智能合约的正确性和安全性面临着巨大的问题;在海量的智能合约中,最好的一种设想就是通过自动化审计来降低人工审计的复杂度。同时市场上有安全公司,也推出各自的智能合约自动化安全审计平台,那么今天我们就来介绍一下智能合约自动化审计。
Frax Finance将在Partisia区块链上推出Frax价格指数:12月10日消息,算法稳定币项目Frax Finance宣布将在Partisia区块链上推出Frax价格指数(FPI)。该基准将与其稳定币挂钩,并作为标准消费物价指数(CPI)的竞争对手。此外,Partisia区块链将成为算法稳定币FRAX的技术基础。Frax联合创始人Sam Kazemian在之前接受采访时解释说,FPI稳定币将包含质押组成部分。因此,除了执行CPI标准的核心功能外,FPI还将具有计息收益率,从而改善与之挂钩的稳定币的价值主张。“有了FPI,你基本上可以把它看作是货币政策中的挂钩承诺。”(Cointelegraph)[2021/12/10 7:29:31]
我们把自动化审计分为三个部分:
动态 | 广东华兴银行融合区块链技术,提升人民币跨境清算效率:广东华兴银行通过提供人民币跨境支付系统(CIPS)跨境人民币区块链清算服务,融合科技金融区块链技术,保障交易路径公开透明且不可篡改;缩短跨境人民币清算路径,清算服务时间由8小时延长至11小时,大力提升人民币跨境清算效率。(中国金融新闻网)[2019/5/31]
第一种就是特征代码的匹配;第二类就是基于形态化验证的自动化审计;最后一类是基于符号执行和符号抽象的自动化审计。
1)特征代码匹配
首先特定代码匹配。大家从名字上来看应该就能理解到,其实就是对恶意代码进行一些提取抽象,像我们之前做的代码静态检测,我们抽样成一种语义匹配,然后再去匹配它的静态源代码。
中钞区块链技术研究院“Pick你的画” 助快速通俗了解区块链:6月1日,中钞区块链技术研究院推出一款区块链小程序——Pick你的画。这款小程序可将图片上传至区块链进行登记,固化上传人、时间和图片DNA,永久留存、不可篡改。据悉,小程序的背后使用的是中钞区块链技术研究院自主研发的络谱区块链登记开放平台,该平台可以登记数字身份、数字凭证,证明身份、时间、数据、凭证的关系,增进可信协作。目前,已经有100多家单位申请接入测试。“Pick你的画”属于对数据进行登记,算是一款最简单的区块链应用示例。他们表示,希望通过这一款小程序帮助大家快速而通俗的理解区块链知识和机理。[2018/6/1]
这种审计的方法的优点是显而易见的,比如说速度很快,因为它就是对源码进行一个字符串的匹配。第二是它能够迅速地响应新的漏洞,因为这种审计方法大部分是以插件形式开发,比如出现了一个新的漏洞,我们就可以快速提交一些新的匹配模式。
上海区块链峰会被叫停 主办方发布公告回应:今日在上海举办的第二届全球科技与区块链中国峰会上午会议中途被叫停,之后主办方领思国际工作人员发布公告称,会议具体的叫停原因正在调查,警察过来叫停的原因只说了有安全隐患,关于会议的解决问题,主办方会商量出一个方案,是改期或者别的方案,具体等通知。此次会议是正规的,没有演讲项目涉及法律问题,不要以讹传讹,等官方通知。[2018/4/12]
那么它的缺点在哪里呢?我们所理解的现在的区块链都应该是公开透明的,但实际情况并不是这样,我们大概做了一个统计,目前在以太坊上其实有超过一半的智能合约是不开源的,只暴露一个OPCODE。
OPCODE的分析对于安全人员来说也面临着巨大的挑战,有些人费了十分大的力气,去逆向OPCODE,这就导致了它的适用范围极为有限。
其次就是漏报率高。因为它的一些静态审计方法其实并不和传统的静态代码审计方法一致,传统的静态审计方法,比如说APP检测,会调用库里面,确定稳定的一些函数,来对它进行审计,但智能合约里面它的一些函数、它一些特征等等,还是变化性比较多的,所以说它的漏报率会比较高。
2)基于形式化验证的自动化审计
使用形式化验证来审计智能合约安全,将EVM编译后的一些OPCODE,通过特定描述语言转化成了一个形式化的model,然后通过形式化model的验证来去判断它代码中的逻辑是否存在问题。
3)基于符号执行、符号抽象的自动化审计
基于符号执行、符号抽象的自动化审计检测出来的数据还是需要人工进行二次确认,这个工作其实是非常繁琐。
PART02-一个出色的智能合约自动化审计系统该满足什么条件?
1)自动化
要求对智能合约的安全审计,要全自动,或者至少是半自动的,即上传合约源代码或提供智能合约的token地址,即可由系统,自动化进行合约的安全扫描。并且能够按需要配置为周期调度自动进行调度审计。
2)准确性
要求对智能合约的安全审计,误报率低。
3)高效率
要求对智能合约的安全审计必须是高效的,即要求审计的时间不能太长,越快越好。
4)无风险
要求对智能合约的安全审计不会破坏或修改原有的合约的功能。
只有做到了以上4点,才是一个基本合格的智能合约自动化审计系统。
除此之外,如果要做得更加的专业,更出色,还需要满足下面的四个需求:
第一、系统具有智能合约的当前标准规范管理;这样一来,使用者可以在系统上传,下载标准规范进行参考。如果说审计出来的安全问题,能与标准规范相对应,并定位到标准规范是最好的,但是当对智能合约安全审计的标准规范不细或缺乏,做到这一点太难了。
第二、系统的使用操作体验要好;简单举例:
可以采用向导式,引导用户熟悉系统的功能操作。
具备用户自定义合约的行业分类以及所属厂商分类等。
审计出来的安全问题,能定位到行列,并至少能提供此安全问题的修正安全,当然,有自动化修正更好,具备自动化修正功能,相应提供保留原内容的版本,以便可进行回退和比较。
第三、易扩展;当前,区块链的平台技术以及安全专家针对区块链智能合约发现的安全问题的checklist是不断演进的,系统应很好的解决这方面的需求,就需要系统有一个很好的易扩展的设计要求。
第四、对安全审计结果报告展现丰富;能导出PDF,EXCEL,WORD,HTML格式是必需的,报告的展现应有图表,表格元素的体现,当然,要做好这点,需要你对系统的使用方有更多的了解,针对用户做些定制他们关注的报告就更出彩了;报告出彩的功能还可以是报告中有审计历史对比趋势分析等。
12月28日晚间,“我与无限——玲听2021区块链跨年演讲”在杭州大剧院重磅开启。巴比特副总裁/主编、《玲听区块链》发起人汤霞玲表示,截至2020年10月,全国已有22个省将区块链写入2020年.
近日,巴比特成为金链盟首批FISCOBCOS培训服务合作伙伴之一,与FISCOBCOS开源社区一同助力区块链人才培育体系建立.
巴比特讯,9月5日,Yearn.finance创始人AndreCronje发布博客,称赞了DomHofmann推出的Loot游戏的是鼓舞人心的.
12月22日,由中国信息通信研究院、中国通信标准化协会、可信区块链推进计划共同主办,科技行者协办的“2020可信区块链峰会”在京举行.
据Coindesk消息,加密贷款机构Cred仍将控制其即将破产的业务。在周五举行的初步听证会上,美国特拉华州破产法院法官JohnDorsey否决了任命破产法第11章受托人监督Cred重组的动议.
本文来源:经济参考报,原题《聚焦春节主题 多地数字人民币试点添年味》 作者:张莫,吴燕婷 深圳“龙华数字人民币春节留深红包”活动、苏州“数字人民币·苏州年货节京东专场”、“数字王府井 冰雪购物节.