在保障区块链项目的安全及稳定方面,审计一直以来都发挥着至关重要的作用。
CertiK?的审计专家团队拥有丰富的经验,迄今为止已获得了?4000?家企业客户的认可,挖掘了超过?70000?个代码漏洞,保护了超过?3600?亿美元的数字资产。
CertiK?的审计过程全面且彻底,我们的安全专家会细致检查项目的设计、架构和源代码,以发现漏洞或风险。
凭借我们的安全专业知识和业内领先的端到端安全解决方案,CertiK?持续引领着Web3.0?行业的安全领域,提供从最基本的?token?到最复杂的?DeFi?协议乃至区块链整体架构的安全审计服务。
但是想必会有用户疑惑于我们具体是如何进行审计的,审计方法是什么,关键的审计特点又是什么?
往下看,这篇文章就可以给出答案。我们的审计流程的第一步,是获得源代码并搭建一个定制环境。
第二步是审查项目文件并进行威胁模型分析,随后使用内部工具和人工审计来寻找安全漏洞和设计缺陷。
第三步是提交一份包含所发现的风险及其修复建议的初审报告。
第四步则是出具终审报告,该报告将详细描述审计工作为项目带来的帮助,并展示了?CertiK?审计专家是如何协助项目规避Web3.0?关键漏洞的。
环境配置
目前,CertiK?的审计及端到端安全解决方案已覆盖目前市面上大部分生态系统,并支持几乎所有主流编程语言,就区块链平台、数字资产交易平台、智能合约的安全性等领域为各个生态链提供安全技术支持。
Telegram钱包机器人推出支持购买、提取和交易比特币的Web界面:4月23日消息,根据Telegram钱包机器人@wallet 4月21日发布的公告,该机器人推出了一项功能更新,@wallet用户现在可以直接通过其更新的Web界面购买、提取、交易比特币以及进行比特币P2P交易。之前,比特币只能在文本机器人中访问,但现在@wallet中所有用户都将能够使用该Web界面。此外该平台的新特性之一是更新的交易接口。通过这个新的钱包交易接口,用户可即时交易BTC、USDT和TON代币。此外,交换对总数增加到6个。
此前消息,TON基金会已向Telegram添加了加密支付功能,用户可通过Telegram“@wallet(钱包)”机器人功能购买比特币。去年11月消息,Telegram钱包机器人已支持在应用聊天界面直接交易TON代币。[2023/4/23 14:21:01]
虽然某些编程语言所编写的项目可能需要非常复杂的配置过程,但这个问题可以通过使用预先配置的虚拟机环境得到一定程度的解决——将代码导入到配置好的环境中,检查其能否成功编译和部署,该环境的设置使安全专家能够运行代码并编写测试,以获得对项目更深刻的理解。
架构审计
确定项目的架构对于了解系统和安全相关的关键组件与部分至关重要。
对架构的彻底理解对于有效的威胁模型分析也是必不可少的。
理想情况下,项目团队会提供一份白皮书和技术文件,概述项目的详细架构。
OKX Web3钱包即将首发接入Sui Network:4月15日消息,据官方消息,为支持新公链发展和促进多链生态繁荣,OKX Web3 钱包将于 Sui Network 主网正式上线后 24 小时内,率先完成接入。届时,用户可使用 App 和插件 Web3 钱包管理自己在 Sui Network 上的资产。
据了解,OKX Web3 钱包是最全面的异构多链钱包,已支持 50+条公链,涵盖钱包、DEX、赚币、NFT 市场、Dapp 探索 5 大板块,能够满足用户一站式 Web3 需求。[2023/4/15 14:05:28]
然而在许多情况下,这些架构文件是缺失的,审计员必须进行架构提取以确定架构。
架构提取包括检查组件之间的交互、外部输入的处理、库的导入、新想法的实现、对代码标准的遵守以及对并发的支持。
对于常见的项目类型来说,利用工具生成调用图和存储布局图来辅助进行可视化的过程可能很简单。
然而,对于组织不完善或非常规的项目,审计员可能需要通过逐个分析功能和源文件来手动确定组件结构及其关系。
确定一个项目是原创设计还是另一个项目的分叉也很重要。因为分叉很有可能会继承来自其初始项目的漏洞——PancakeBunny协议遭到闪电贷攻击,损失超过?4000?万美元,其源代码被其他多个项目分叉,由于未能识别和修复漏洞,导致他们遭受了相同的攻击。但本来一个彻底的安全审计就可以发现这个漏洞从而规避此种攻击。
安永在深圳开设亚太技术实验室,创新领域包括区块链、Web3等:12月13日消息,安永会计事务所在深圳开设亚太技术实验室,该技术旨在利用新兴技术提升创新潜力,如AI、AR、VR、区块链、Web3等。该实验室目前已推出一种基于 Web3 的医疗保健数据分析模型,由去中心化身份 (DID) 规范支持,以帮助与主要制药公司合作运行合规、经过身份验证的医疗数据分析。(prnewswire)[2022/12/13 21:42:15]
威胁模型分析
威胁模型分析包括对一个项目的关键资产、资源和安全需求的描述,以及划分出了一个潜在漏洞和安全威胁的列表。
抽象的描述是在架构审计期间建立的,安全需求可以通过基于系统架构提出并回答有关问题来确定。例如,在一个治理系统中,可以尝试提出以下问题:
谁可以创建提案?
创建一个提案有哪些要求?
一个提案需要多少百分比的票数才能通过?
提案的验证期有多长?
项目使用的是什么投票?token?和机制?
特权账户可以修改哪些配置?
一旦确定了安全需求,就该考虑可能会面临的威胁了。
在Web2.0?中,常用的威胁分类模型是?STRIDE,它将威胁分为六类:欺诈、篡改、抵赖、信息泄漏、拒绝服务和权限的提升。
这个方法在Web3.0?中需要稍作修改。例如在?DeFi?项目中,源代码是在区块链上验证的,所有交易信息和存储数据都是公开的,所以“信息泄露”的威胁并没有那么大。
安全团队:Web3音乐平台Audius社区金库被利用,损失1850万枚AUDIO Token:7月24日消息,据慢雾官方推特表示,Web3音乐流媒体服务平台Audius社区金库被利用,损失1850万枚AUDIO Token,黑客将资金在Uniswap兑换为约705枚ETH,此时仍保留在黑客地址中(0xa0c......ab4c)。
Audius官方回应目前该问题已被发现并且正在进行修复,以太坊上的所有Audius智能合约都必须停止,包括Token,团队认为没有进一步的资金风险,修复完成前Token余额、转账等将暂时不可用。[2022/7/24 2:33:56]
威胁模型分析最后的结果将会生成一个安全检查表,用以指导安全审计,并可更加全面的评估系统安全状况。
静态分析和形式化验证
我们通过端到端安全解决方案以及运用?CertiK?丰富的审计经验和技术底蕴来为Web3.0?提供安全服务。
包含在端到端安全解决方案内的工具和服务均依托于一个庞大数据库——这些数据来自?CertiK?数以千计的审计历史和挖掘的超过?70000?个漏洞。
其中,我们的安全工具会在源代码和字节码层面对代码进行静态测试,识别不安全的代码模式并生成图表以提供对智能合约的可视化分析。
随着机器学习与智能合约风险环境的不断变化、威胁情报库和智能合约漏洞库的不断积累,这些安全工具也将随之进步。
Web3隐私系统Espresso Systems完成3200万美元融资,红杉资本参投:3月7日消息,Web3应用程序扩展和隐私系统EspressoSystems完成3200万美元融资, Greylock Partners 和 Electric Capital 领投,红杉资本、Blockchain Capital 和 Slow Ventures参投。
据悉,Espresso Systems 正在开发第 1 层区块链基础设施,通过将权益证明共识协议与zk rollup机制集成来提供快速、低费用的交易。该项目的以太坊可配置资产隐私 (CAPE) 智能合约应用程序旨在为创建者提供有关发送方和接收方地址以及持有或移动资产的数量和类型的可定制隐私。这些元素都可以设置为公共、私人或仅对选定方透明,将支持 ERC-20 代币的创建和包装,未来还将支持NFT。(Coindesk)[2022/3/7 13:43:02]
除了静态分析外,我们还通过形式化验证来确保项目代码的安全,并确保程序运行符合其预期的规范。
形式化验证,是一种验证计算机程序是否按照预期运行的数学证明方法。
它将程序的属性和预期行为表达成为数学公式,然后使用自动化工具来检查这些公式是否成立。该过程有助于确保其程序符合预期,其主要发现包括逻辑问题、重入风险、缺乏访问控制、溢出/下溢和?gas?优化等等。
但最终产生的结果需要经过审计专家的人工验证,以保证结果的准确。
人工审计
安全工具的确非常强大但是也有其相应的局限性,这也是我们经验丰富的工程师团队发挥作用的地方。
人工审计的内容包括对代码进行极为细致的逐行检查,这是整个审计过程中最为耗时的步骤。
人工审计可以分为两个部分:微观审计和宏观审计。
微观审计包括分析代码以了解所有功能,在这个过程中我们经常会发现代码的问题。这一审计部分涉及到的技术包括分析每个参数、变量和字段,审计函数访问控制和修改状态变量,以及对类似的函数进行比较。
而宏观审计是通过了解项目的调用/合约层次,搜索状态变量和函数的出现位置,以及检查不同的假想场景来识别全局漏洞。
例如那些关键性漏洞的诱因通常不只局限于单一的函数,而是可能由位于代码不同部分、多个功能之间的不正确交互导致。
上文我们提到了架构审计和从威胁建模结果中得出的“安全检查表”,人工审计的过程也将参考这些结果。
在人工代码审计过程中,审计员将同时采用黑客和开发者的视角。黑客的思维方式将被用来发现那些可能被利用的潜在漏洞,而开发者的思维方式将被用来验证执行情况并识别代码中的不足,如低效的?gas?使用和缺乏的代码模块化。
在必要情况下,我们还会将单元测试纳入人工审计。
单元测试是根据每个项目的不同特点为其量身定制的安全评估,包括验证项目组件是否正确地响应特定的输入、输出和边缘案例。
如果单元测试被成功运行,那么就意味着代码的确是在按照预期规范运行。
针对大型项目,CertiK?将安排多位审计员作为一个团队进行审计,建立审计计划并分配相应职责,定期举行会议以讨论审计进度和结果,并在必要时协同完成工作。除此之外,也将为项目与审计团队之间建立一个便捷的沟通渠道,以便第一时间就项目审计相关内容进行沟通。
CertiK?的审计方法整合了各项安全技术,包括静态分析、形式化验证和人工审计,以确保项目代码库的安全。这种全面的方法可将安全漏洞发生的风险降到最低,为项目赋予对其代码正确性和安全性的充分信心。
审计报告和代码修复
我们的审计报告从项目的类型、生态系统和审计范围的描述开始,对项目的安全状况进行了详细的分析。这些报告解释了我们用于评估项目安全性的方式和审计方法。
而为了让读者更容易理解报告中的安全评级和术语,在报告的附录部分,我们提供了有关审计的定义和其他信息,这些信息包括图表和审计员注释。所做的具体测试将在报告中专门提及,解释其执行过程和最终的结果。
我们提供的每个风险「Finding」都包括对项目中发现的问题进行识别、分类和提供的建议,以及对这些内容的详细解释。
每个挖掘出的风险「Finding」均包括标题和数据。
接下来的四个版块准确地详述了安全注意事项:
Description:定义了风险漏洞的背景并概述了其安全影响。
Scenario:介绍了触发一个漏洞或者造成项目故障的步骤及其前提。
ProofofConcept:包括了漏洞利用脚本和说明,以及用于在客户端重现漏洞时的预期日志输出。
Recommendations:通过提供可操作的解决或修复措施来总结所有调查结果。
这些版块提供了详细及具备针对性的信息,以便于读者理解。
在修复阶段,项目团队将与审计团队进行持续地沟通,进一步提高项目的安全性。
初审报告是出具给项目团队的,随后项目团队可以通过源代码更新或是评论来回复。我们将根据项目团队提交的回应对评估结果进行更新,并在终审报告中标注其对代码做出的修改。
这一过程可以重复进行直到项目团队对安全评估满意为止。终审报告除提交给项目团队以外,也将公布于?CertiK?安全排行榜,社区成员和其他用户均可免费查看该项目在接受?CertiK?审计和安全服务后提升安全等级的细节内容。
写在最后
除了审计服务,CertiK?的安全工程师还身兼威胁事件响应、安全研究、发表教育技术类分析、参与会议、夺旗比赛和内部培训多领域技能,这些多样化的技能和经验帮助更加深入了解安全领域,且通过持续的教育和研究深入理解最新的行业标准和最佳实践。
CertiK?的审计有几个有别于其他审计服务的主要特点:
①我们的定制环境允许审计专家运行专有工具和定制测试。这将确保全面且彻底地测试项目的安全性。
②我们的审计专家拥有的专业水平可以确保人工审计能在最高水平上进行代码的细致检查。因此即便是最为复杂的代码库,我们也可以挖掘出潜在的漏洞。
③CertiK?的审计报告是完全定制的,为项目团队提供风险的解决方案。项目的开发者可以获取解决风险和漏洞的可操作步骤,从而提高项目的整体安全性。
CertiK?审计服务的目的是为项目的代码提供全面的安全评估。因此这意味着尽管项目代码得到了基础安全评估,但同样也非常需要?CertiK?的安全解决方案以进一步增强安全性。
CertiK?的端到端安全解决方案中包含了渗透测试、漏洞赏金以及额外的测试服务,可进一步确保项目的安全。
Skynet?天网系统和?24*?7?威胁事件响应可为项目提供链上监控,防止恶意利用和威胁。
安全排行榜和Web3.0?项目团队的KYC?尽调可以提高社区透明度和信任度。
CertiK?端到端安全解决方案不仅能为静态和链上运行环境中的项目提供全面的安全性,同时也可做到在社区内建立信任,用户可以更好地了解他们正在交互的项目的风险——这也是我们公开审计报告的原因。
提高整个Web3.0?行业的安全标准和透明度是我们的使命,其中的部分内容在本文中得以体现。我们期待Web3.0?的未来是健康且安全的,也将一步步助力其达成这个目标。
尊敬的用户:BKEXETP专区将于2023年3月9日15:00上线GMX3L、GMX3S,并同步开启交易瓜分1,200USDT活动.
1900/1/1 0:00:00上周我们盘点了8个即将首发上线的项目,有些项目表现亮眼。比如,HALO在BitgetIEO价格为0.02美元,上线后一度飙升至1.5美元,目前稳定在0.3美元,较IEO价上涨1500%?.
1900/1/1 0:00:00在SilverGate因未能按时提交?10-K?报告而遭遇?FUD?的当下,同为加密友好型银行的?SignatureBank?在?3?月?2?日提交?10-K?报告.
1900/1/1 0:00:00尊敬的XT.COM用戶:因AR錢包升級維護,XT.COM現已暫停AR鏈上代幣充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00尊敬的用户:ETH上海升级即将到来,火必将于2023年3月7日开启“ETH上海升级”主题活动,惊喜不停,邀您参与!活动一:交易LSD板块币种交易赛,赢取15.
1900/1/1 0:00:00亲爱的用户:首期ETF任务赏金活动用户参与热情高涨,为回馈用户的支持,CoinW将再度开启任务赏金活动,活动期间将每日发布一定数量任务,用户完成任务即得奖.
1900/1/1 0:00:00