零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。
前言
当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。
A股开盘:深证区块链50指数上涨2.3%:金色财经消息,A股开盘,上证指数报3721.09点,开盘上涨1.81%,深证成指报16275.98点,开盘上涨1.97%,深证区块链50指数报4144.66点,开盘上涨2.3%。区块链板块开盘上涨1.83%,数字货币板块开盘上涨2.97%。[2021/2/18 17:25:44]
PART01-智能合约审计流程介绍
为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。
正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,开发团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。
安永将与BSN展开合作 基于FISCOBCOS底层框架部署两大区块链平台:安永将与BSN展开深入合作。基于BSN全球区块链网络上FISCOBCOS底层框架,部署其“安永BlockchainAnalyzer”和“安永OpsChain”两大平台。安永将通过BSN网络提供控制机制,实现与部署在海外的以太坊网络的互联互通,持续为客户提供更加合规、安全、高效的产品解决方案。[2021/2/10 19:21:57]
IOST宣布战略投资ATTN 双方将在区块链游戏领域进行深度合作:近日,IOST宣布战略投资ATTN。IOST是一个由红杉、经纬、真格等全球一线美元投资机构支持的,为在线服务提供商而开发的区块链应用平台。主网上线后IOST已正式成为除Ethereum、EOS、Tron外全球Top 4的DApp公链平台。ATTN是一个基于区块链技术的游戏数字生态平台,拥有多款自主设计的热门PVP游戏,携玩家池、CP池、流量池、主播池累积迁移上链,致力于打造游戏电竞IP价值最大化为核心目标的网络生态闭环。此前ATTN曾获OK战略合作投资机构K42以及共识实验室等机构投资。[2020/6/30]
智能合约代码审计方式:
公告 | 中国太保:对区块链公司B3i投资,已报名“保险行业区块链团体标准”制定:中国太保(SH601601)在互动平台回答投资者提问时表示长期以来,中国太保高度重视科技创新,不断尝试和探索利用新技术手段实现业态创新。在保险区块链科技方面,公司于2019年6月完成了对全球区块链保险联盟B3i的投资。该公司致力于通过区块链分布式记账技术,建立保险行业区块链生态系统,为参与者创建一个共同维护及人人共享信任的交易平台,并通过不断扩大其网络、建立与行业主体的创新合作,为保险业提供创新的保险服务及解决方案。通过本次投资,中国太保成为唯一投资B3i的中国企业,公司期望和其他重要的市场参与者一起,在保险业中积极运用及实施区块链技术,为客户提供更好的保险产品和服务。[2020/1/20]
-了解智能合约协议的逻辑运转流程
-分析智能合约逻辑设计规范和设计目的
-工具测试智能合约存在的安全风险
-测试针对智能合约的常见攻击手法
-根据项目流程进行模拟算法漏洞测试
PART02-智能合约常规漏洞有哪些?
1)以太坊智能合约
重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2)EOS合约
权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门
PART03-智能合约审计报告的结构
1)审计报告的封面:
审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。
2)审计概述及项目背景:
概述和项目背景进行细致划分,使得审计报告更加清晰明了,其中项目背景对项目简介和审计范围做了详细介绍。
3)合约架构分析:
通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。
4)审计详情:
在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险,其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。
作为关心项目方安全的投资者,通过以上几个部分基本可以了解到如何审阅项目;剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。
智能合约审计报告不是验证代码安全的法律文件;没有人能100%确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估,这仅仅是保证你的代码已被专家校订过,基本上是安全的。选择权最终掌握在项目方及投资者手中。
区块链安全100问正在持续更新,欢迎大家后台评论留言自己的观点。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。