月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Luna > 正文

区块链:区块链安全100问 | 第七篇:智能合约审计流程及审计内容_PARTY币

作者:

时间:1900/1/1 0:00:00

零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

南美航空公司在Algorand区块链上采用TravelX的NFTickets:金色财经报道,南美航空航空公司 Flybondi 通过区块链 Algorand 技术使用 TravelX 的创新技术以 NFTickets 的形式分发机票。该航空公司成为第一家充分利用 NFTicket 技术的航空公司,全球超过 60 家航空公司正在与 TravelX 进行对话以探索其采用,并且在该行业中首次为航空公司的机票库存创建二级市场。[2023/3/30 13:35:34]

PART01-智能合约审计流程介绍

为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。

深圳市科创委:打造数字经济创新发展试验区,加快区块链等的示范应用:3月10日,深圳市人大常委会召开《深圳经济特区知识产权保护条例》《深圳经济特区国家自主创新示范区条例》执法检查组第一次会议,正式启动“两条例”执法检查工作。深圳市科创委表示,下一步,深圳将加快综合性国家科学中心建设,全面推进光明科学城、西丽湖国际科教城、深港科技创新合作区“两城一区”建设,探索建立更具弹性的审慎包容监管机制,全力打造数字经济创新发展试验区,加快5G、人工智能、区块链等技术的示范应用,力争全国率先实现5G网络全覆盖。(南方网)[2020/3/11]

正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。

声音 | 怀俄明州众议员:怀俄明州的目标是把区块链企业从其他州政府手中夺走:美国怀俄明州已通过了十几项与区块链相关的法案。该州众议员Tyler Lindholm在谈及该州的区块链立法时表示:“你(其他州)不必逐字逐句地采用我们的法律,但你至少应该认清形势,认识到技术发展比政府快得多,这是正常的。因此,我们现在正在玩一场追赶游戏,如果没有法律清晰度或法律优先权,你们的公司将退出你们的州。我的目标是把他们从其他州政府手中夺走。”Lindholm的观点很简单。“任何集中精力”通过法案来监管或创建区块链以提高政府的透明度、审计和其他事务,都是“愚蠢的尝试”。相反,立法机构应该把重点放在创造一个包容区块链企业的监管环境上。(Government Technology)[2019/10/12]

蚂蚁金服胡喜:区块链是支撑数字金融发展的核心基础设施之一:蚂蚁金服副总裁胡喜称,支撑数字金融发展最核心的基础设施是区块链、金融智能、安全、物联网、金融计算。区块链有可能是未来建立金融信任的比较关键的手段。[2018/3/26]

智能合约代码审计方式:

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些?

1)以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1)审计报告的封面:

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2)审计概述及项目背景:

概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。

3)合约架构分析:

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4)审计详情:

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。

标签:区块链PARTKETELXyac币是区块链吗PARTY币RocketDogeELX价格

Luna热门资讯
GAS:V神发文探讨代币投票治理利弊,并提出替代解决方案_以太坊

巴比特讯,V神发文称,去中心化治理是必要的,但目前形式的代币投票治理存在许多公认和未公认的危险,因此扩大或超越代币投票是解决方案的关键部分.

1900/1/1 0:00:00
USH:SushiSwap CTO:白帽出手拯救了BitDAO MISO荷兰拍卖资金池中的3.5亿美元资产_SUSHIBULL价格

巴比特讯,8月17日,区块链投资机构Paradigm研究合伙人、著名白帽黑客samczsun撰文披露了BitDAO昨日在SushiSwapIDO平台MISO进行的荷兰拍卖的智能合约存在安全漏洞.

1900/1/1 0:00:00
EFI:新加坡收藏品设公司Mighty Jaxx完成1000万美元融资,腾讯领投_GHT

据VulcanPost8月12日消息,新加坡收藏品设计和制作公司MightyJaxx完成1000万美元融资,腾讯领投.

1900/1/1 0:00:00
NFT:漫威将于今晚发售5款美国队长塑像NFT及蜘蛛侠漫画NFT_EVERBNB

据Newsbitcoin消息,漫威与NFT平台Veve合作的“漫威月”活动将于8月31日拉下帷幕,作为最后的重头戏.

1900/1/1 0:00:00
加密货币:消息人士:NFL禁止球队向加密交易公司出售赞助及NFT_区块链是什么多选题

据TheAthletic9月3日消息,多位俱乐部人士表示,NFL上个月通知各球队,他们暂时不能向加密货币交易公司出售赞助。此外,球队也不能出售NFT代币.

1900/1/1 0:00:00
ETH:ETC主网因geth此前漏洞遭到分叉,Core-geth节点运营商应尽快更新到v1.12.1以上版本_togetherbnb破解版

巴比特讯,9月4日,EthereumClassic发推称,因以太坊客户端Geth此前漏洞导致ETC主网遭遇分叉,目前大部分算力在主网上.

1900/1/1 0:00:00