深圳市零时贸易有限公司(通称:零时高新科技)成立于2018年11月,是一家致力于区块链生态安全的实战演练技术创新网络信息安全公司。精英团队投身区块链安全性与应用技术科学研究,以充足的安全性防御实践经验融合人工智能技术数据统计分析解决,为客户提供区块链安全性漏洞风险性检验、安全性审计、安全防御、财产追朔,及其私有云区块链运用自主创新解决方法。
零时高新科技区块链安全性100问正式启动,以浅显易懂的言语方式为我们解读区块链领域专业知识,及其区块链绿色生态运用存有的安全隐患,让越多人掌握区块链及区块链安全性。
引言
现阶段区块链技术的运用尚处于迅速发展的市场经济体制,面对的安全隐患种类繁多。从区块链绿色生态运用的安全性,到智能合约安全,共识机制安全性和最底层基本部件安全性,安全隐患遍布普遍且危险因素高。这对生态环境管理体系、安全性审计、技术架构、个人隐私和基础设施建设的全局性发展趋势提出了全新升级的磨练。
PART01-智能合约审计步骤详细介绍
为了更好地查验合约的安全系数,一般会检测多种多样的攻击,仿真模拟多种多样的攻击情景,根据规范审计步骤开展安全性核查,以保证合约的安全性。
正常的审计步骤应包括早期运用审计的需求沟通交流,例如审计合约具体内容、审计时长、审计费用预算等。明确审计要求后必须签订合同、达成一致。随后,安全性精英团队逐渐进行安全性审计,并汇报审计结果。开发设计精英团队对于汇报中的安全隐患开展修补。安全性精英团队帮助改动后的合约进行复测,以保证安全问题已修补,提高合约的安全系数。
智能合约编码审计方法:
- 掌握智能合约协议书的逻辑性运行步骤 - 剖析智能合约数字逻辑标准和设计方案目的 - 专用工具检测智能合约存在的安全隐患 - 检测对于智能合约的常用攻击技巧 - 依据项目管理流程开展仿真模拟优化算法漏洞检测
PART02-智能合约基本漏洞有什么?
1)以太币智能合约
- 重入攻击 - 浮点型和标值精密度非期望的Ether整数金额外溢 - 重入攻击浮点型和标值精密度默认设置 - 由此可见性Tx.origin身份认证不正确的构造方法 - 未认证传参不安全的随机数字 - 时间格式依靠买卖次序 - 依靠Delegatecall启用Call调用 - 拒绝服务攻击 - 数字逻辑缺陷 - 假在线充值漏洞 - 短地址攻击 - 未复位的储存表针 - 代币总公开增发 - 冻结账户绕开合约Gas提升 - 自变量遮盖 - 故意侧门
2)EOS合约
- 管理权限校验漏洞 - 转账通告仿冒漏洞 - Apply函数公式管理权限校验漏洞 - 整数金额外溢漏洞 - 转账通告仿冒漏洞 - Apply函数公式管理权限校验漏洞 - 弱随机数种子漏洞 - 冻结账户绕开漏洞 - 拒绝服务攻击漏洞 - 编码逻辑性漏洞 - 伪钞攻击 - 回退攻击 - 中间人攻击 - 故意侧门
PART03-智能合约审计汇报的构造
1)审计汇报的封面图:
审计汇报的封面图中反映审计目标的名称、审计精英团队及报告单的公布日期。
2)审计简述及项目可行性:
简述和项目可行性开展细致区分,促使审计汇报更为清晰明了。在其中,项目可行性对项目概况和审计范畴进行了详细解释。
3)合约架构剖析:
根据文件目录构造和合约详细信息,表明该新项目合约文档及相匹配合约的具体方式、主要参数等。
4)审计详细信息:
在审计详情中根据风险性遍布、风险性审计详细信息关键详细介绍合约审计全过程中具有的有关风险性。主要包括风险性名称、漏洞叙述、安全风险、安全性提议、修补情况及审计结论等信息内容。
根据以上一些主要内容可以认识到如何审查新项目。剩余的部分包括审计精英团队安全性审计的专用工具详细介绍、免责协议及安全性审计精英团队的基本信息。
智能合约审计汇报并不是认证编码安全性的法律文件。没有人能100%保证编码在未来不会出现异常或造成漏洞。审计精英团队对工程的审计汇报只表明审计精英团队对工程项目开展过安全风险评估。这只是确保你的编码已被权威专家校订过。大部分是可靠的。决定权最终掌握在新项目方及投资人手中。
区块链安全性100问已经不断升级,欢迎大家积极参与并在后台管理评价留言板留言,分享自己的见解。
