区块链:区块链安全100问 | 第七篇：智能合约审计流程及审计内容_PARTY币

作者：

时间：1900/1/1 0:00:00

零时科技区块链安全100问正式上线，以通俗易懂的语言形式为大家讲解区块链行业知识，以及区块链生态应用存在的安全问题，让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

南美航空公司在Algorand区块链上采用TravelX的NFTickets:金色财经报道，南美航空航空公司 Flybondi 通过区块链 Algorand 技术使用 TravelX 的创新技术以 NFTickets 的形式分发机票。该航空公司成为第一家充分利用 NFTicket 技术的航空公司，全球超过 60 家航空公司正在与 TravelX 进行对话以探索其采用，并且在该行业中首次为航空公司的机票库存创建二级市场。[2023/3/30 13:35:34]

PART01-智能合约审计流程介绍

为了检查合约的安全性，一般会测试多种攻击，模拟多种攻击场景，通过标准审计流程进行安全审查，以确保合约是否安全。

深圳市科创委：打造数字经济创新发展试验区，加快区块链等的示范应用:3月10日，深圳市人大常委会召开《深圳经济特区知识产权保护条例》《深圳经济特区国家自主创新示范区条例》执法检查组第一次会议，正式启动“两条例”执法检查工作。深圳市科创委表示，下一步，深圳将加快综合性国家科学中心建设，全面推进光明科学城、西丽湖国际科教城、深港科技创新合作区“两城一区”建设，探索建立更具弹性的审慎包容监管机制，全力打造数字经济创新发展试验区，加快5G、人工智能、区块链等技术的示范应用，力争全国率先实现5G网络全覆盖。（南方网）[2020/3/11]

正常审计流程应包括前期应用审计的需求沟通，比如审计合约内容、审计时间、审计预算等；确定审计需求后需要签订协议、达成共识；然后安全团队开始安全审计，以及审计报告的输出，开发团队针对报告中的安全问题进行修复，安全团队协助修改后的复测，确保安全问题已修复，提升合约的安全性。

声音 | 怀俄明州众议员：怀俄明州的目标是把区块链企业从其他州政府手中夺走:美国怀俄明州已通过了十几项与区块链相关的法案。该州众议员Tyler Lindholm在谈及该州的区块链立法时表示：“你（其他州）不必逐字逐句地采用我们的法律，但你至少应该认清形势，认识到技术发展比政府快得多，这是正常的。因此，我们现在正在玩一场追赶游戏，如果没有法律清晰度或法律优先权，你们的公司将退出你们的州。我的目标是把他们从其他州政府手中夺走。”Lindholm的观点很简单。“任何集中精力”通过法案来监管或创建区块链以提高政府的透明度、审计和其他事务，都是“愚蠢的尝试”。相反，立法机构应该把重点放在创造一个包容区块链企业的监管环境上。（Government Technology）[2019/10/12]

蚂蚁金服胡喜：区块链是支撑数字金融发展的核心基础设施之一:蚂蚁金服副总裁胡喜称，支撑数字金融发展最核心的基础设施是区块链、金融智能、安全、物联网、金融计算。区块链有可能是未来建立金融信任的比较关键的手段。[2018/3/26]

智能合约代码审计方式：

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些？

1）以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2）EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门