以太坊:以太坊合并“后时代”「形式化验证技术」如何检测合约安全？_Etherael指什么寓意COS价格

所谓的形式化验证，简单而言就是用数学工具进行验证的方法，把代码编成数学模型，从设计到实现整个流程，通过证明手段来证明代码是完备安全的。

形式化验证作为成都链安的核心技术之一，已经帮助上千份智能合约解决安全问题。可能很多人会问，为什么人工不能检测到的问题，形式化验证可以呢？

这是因为，对于形式化验证，可以无需理解合约具体实现的细节，无需构造特定的场景，无需数据枚举；通过逻辑关系凝练出可复用的安全属性，对合约每条路径都会进行严谨的数学公式推理，自动检测每个可能的系统状态及操作，计算出可满足的解，并根据求解结果对比是否违反安全属性最终检测出每条路径下可能存在的安全问题。

生成式艺术平台Highlight在以太坊上推出:金色财经报道，Haun Ventures资助的生成式NFT艺术平台Highlight今天在以太坊上线，该平台旨在成为可访问的一站式NFT艺术创作平台。Highlight允许用户创建、测试和铸造计算机生成的艺术作为NFT。它取消了创作者费用，这样艺术家就可以保留100%的销售资金，而买家只需支付少量费用。

此前报道，去年5月份，NFT平台Highlight完成1100万美元种子轮融资，Haun Ventures领投。[2023/7/26 16:00:12]

以太坊合并“后时代”，智能合约安全同样不可忽视，今天，我们为大家准备了一个以太坊生态的案例，看看下面这份合约是如何在我们的智能合约形式化验证平台“链必验”检测出漏洞的。

以太坊质押协议Swell Network上线以太坊主网:8月23日消息，以太坊质押协议Swell Network通过Guarded Launch上线以太坊主网。此次上线为多阶段发布计划，其中每个阶段都有一个相应的ETH阈值，该阈值将由DAO主动管理，以支持协议的初始引导，其中第1阶段已于北京时间8月22日8:00开始。[2022/8/23 12:42:58]

链必验，是一款全球领先的“一键式”智能合约形式化验证平台。检测准确率高达97%以上，精确定位风险代码位置并给出修改建议，自动检测智能合约80余项的常规安全漏洞及功能逻辑缺陷。现已拥有生态用户10万+，是全球首套同时支持蚂蚁链、腾讯区块链、FISCO-BCOS、Fabric等的智能合约形式化验证平台。可以极大提高智能合约的人工审计效率，有效降低安全隐患遗漏风险。

Pax Treasury在以太坊网络增发近979万枚BUSD:据whale alert数据，北京时间10月4日05:40，Pax Treasury在以太坊网络增发9,788,479枚BUSD，交易哈希为0xa43f296fb2e76d11dd83e9918d805456bed4226c933910d532ce283e8580f292。[2020/10/4]

01.

准备需要验证的示例Wizard_game.sol

说明：

原合约为以太坊上真实存在的一个巫师决斗合约。为了看起来简单明了并且能够使用形式化检测验证问题，本合约根据逻辑关系只保留巫师决斗超时的处理接口；

resolveTimedOutDuel是更新处理超时情况下的巫师决斗结果的接口；

分析 | 以太坊对比特币汇率有一定抬头 30 天开发者指数保持稳定:据 TokenGazer 数据分析显示，截止至 10 月 23?日 11 时，以太坊价格为$171.07，总市值为$18,523.43M，主流交易所24H交易量约为$57.96M，环比昨日缩水14.54%；近期以太坊对比特币汇率有一定抬头；基本面方面，以太坊链上交易量平稳波动、链上DApp交易量略有下滑、算力保持稳定、新增地址增速保持稳定；以太坊 30 天开发者指数约为 2.24；以太坊与 BTC 180 天关联度有一定回调，30 天 ROI 稍有回落；ERC20 代币总市值约为以太坊总市值的 61.18%，保持稳定。[2019/10/23]

其中每个巫师有自己的决斗场和决斗能量；

若巫师1满足胜利条件，则将巫师2的决斗能量转移给巫师1，再将巫师2的决斗能量清零。

2.合约上传

新增项目

在“链必验”工具中创建需要检测的项目。本次检测的项目为ETH类型项目，那么根据需求点击工具左上方“新增项目”按钮，输入项目名称，选择项目类型，点击确定。

新增合约文件夹

选择刚创建好的项目，点击工具左上方的“新增合约文件夹”按钮，输入文件夹名称。

上传合约文件

选择刚创建好的文件夹，点击工具左上方的“上传”按钮，上传准备好检测的合约文件。

3.合约检测

新增项目

将待检测合约上传完成之后，选择此合约，按照合约内容输入检测参数，然后点击开始检测。

4.查看结果

待合约检测完成之后，查看检测结果，通过代码定位、错误描述、修复建议了解明确该漏洞的具体信息，然后查看代码逻辑寻找问题并进行修复。

5.结果分析

经分析，产生此漏洞的原因是在执行resolveTimedOutDuel接口更新巫师1和巫师2的决斗属性时，未考虑巫师1和巫师2相等的情况，在此场景下，巫师1的决斗能量会先翻倍，然后再清零，导致巫师1状态更新前后总的决斗能量发生了改变，所以导致了assert断言的失败。

6.问题解决

此时在resolveTimedOutDuel接口中添加一个限制条件“require(wizardId1!=wizardId2);”，确保在执行决斗属性更新时巫师1和巫师2不相等，查看是否还存在此问题。

7.漏洞检测难度人工难以察觉，随机测试难以出现这种情况

对于智能合约的验证，通常是伴随人工验证，靠自身经验不断尝试枚举各项可能不满足的输入条件，从而比对输出来判断是否存在漏洞；其存在的问题就是人工成本昂贵，测试时无法覆盖到所有的路径，测试具有一定的机械性、重复性、工作量往往较大。

而对于智能合约的另外一种验证方式-fuzzing模糊测试，虽然可以解决人工成本昂贵的问题，但是由于其没有实际执行规则机制原因，仅靠“蛮力”不断枚举各个输入，同样存在可能出现某种输入漏掉的问题，并且无法根据路径检测出一些逻辑性的漏洞。

在加密行业你想抓住下一波牛市机会你得有一个优质圈子，大家就能抱团取暖，保持洞察力。

如果只是你一个人，四顾茫然，发现一个人都没有，想在这个行业里面坚持下来其实是很难的。

想抱团取暖，或者有疑惑的，欢迎加入！

感谢阅读，喜欢的朋友可以点个赞关注哦，我们下期再见！

标签：以太坊ETHCOS以太坊币是什么币ETH钱包地址ETH挖矿app下载Etherael指什么寓意COS价格COS币

XMR热门资讯