区块链安全100问 | 第七篇:智能合约审计流程及审计内容_区块链:ART

零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

声音 | 百信银行副首席战略官:预计区块链等热门技术的认证标准和规则也会很快出台:从国家市场监管总局官网处获悉,市场监管总局、央行于10月25日对外发布了《金融科技产品认证目录(第一批)》、《金融科技产品认证规则》的公告,公布了11款首批被纳入金融科技产品认证目录的产品和金融科技产品认证的基本认证模式。

百信银行副首席战略官陈龙强在接受北京商报记者采访时分析认为,我国金融科技创新从支付领域已经扩大到金融基础设施和前沿科技应用等领域。本次发布的《认证目录》和《认证规则》是一次全面规范,对把好安全和合规会有进一步提升,对持牌金融机构预留充足创新发展空间。近期应该很快会发备案指引,预计区块链、API等热门技术的认证标准和规则也会很快出台。

值得一提的是,协会机构也开始针对金融科技认证展开相关培训。9月28日,中国银行业协会举办首期金融科技师(CFT)认证培训开班仪式。认证内容全面覆盖主要金融科技ABCDI(人工智能、区块链、大数据、云计算、互联网)在银行业金融机构的应用场景及解决方案。(北京商报)[2019/10/29]

PART01-智能合约审计流程介绍

动态 | 工信部将支持利用区块链等技术推进物流业降本增效项目:据全景网消息,工业和信息化部日前启动2019年新型信息消费示范项目申报工作。一份《新型信息消费示范项目遴选实施方案》指出,对前景好、示范效应强的项目将在后续工作中积极争取资金予以支持。行业类信息消费中,支持发展面向信息消费全过程的现代物流服务,积极探索利用人工智能、物联网、区块链等技术开展物流信息溯源及全程监测,推进物流业降本增效。[2019/3/14]

为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。

动态 | 全球第四次产业革命中心入驻韩国科学技术院将研究区块链技术:据韩联社消息,韩国科学技术院(KAIST)校长申成哲应邀出席2019年达沃斯世界经济论坛年会。他将会见世界经济论坛主席和第四次产业革命中心主任,就“世界经济论坛第四次产业革命中心入驻韩国科学技术院的运营方案”展开讨论。他表示,第四次产业革命中心将对人工智能、区块链、精密医学进行研究。通过达沃斯论坛,将广泛宣传并追求以人为中心的创业革新成长。[2019/1/16]

正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。

美国众议院区块链听证会:IBM和沃尔玛发言人就私钥安全、区块链应用问题发言:在美国众议院举办的区块链听证会证词发言环节中,IBM和沃尔玛的两位发言代表分别就区块链技术在供应链和数据管理领域的具体应用做出汇报,引起听证会在座代表的强烈兴趣,围绕着私钥管理等账户安全问题、区块链技术在政府部门和私营企业中的具体应用问题向出席听证会的证人们要求举例说明,特别地,还着重探讨了区块链技术对于网络安全问题的改善上能够起到的作用,体现了美国政府在监管以外、对于区块链技术发展应用的意愿。[2018/2/15]

智能合约代码审计方式:

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些?

1)以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1)审计报告的封面:

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2)审计概述及项目背景:

概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。

3)合约架构分析:

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4)审计详情:

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-8:90ms