网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

智能合约的安全漏洞可以从高级语言Solidity、以太坊虚拟机(EVM)和区块链三个层面进行分类——高级语言Solidity层面的漏洞,主要是语言自身设计的缺陷,以及开发者在开发过程中引入的错误;以太坊虚拟机层面的安全威胁,主要是由以太坊智能合约字节码规范和运行机制本身的一些缺陷带来;则区块链层面的漏洞,则是由区块链本身的很多特性造成。

根据经验,智能合约的安全漏洞本身极少是由于区块链底层虚拟机引起的,大部分都是因为智能合约开发者本身编写的代码有漏洞。

上医治未病。既然有如此多的原因导致智能合约出现安全漏洞,那么安全审计和检测就不可或缺。事实也的确如此。曾经有第三方安全机构对为期五年内合作审计过的近2000个智能合约项目进行过统计,结果显示,有超过20%的智能合约经过审计后发现存在安全漏洞和隐患。

虽然道理都懂,但在现实之中,真正愿意接受第三方安全机构进行审计检测的将智能合约项目,少之又少。这也导致因为智能合约安全审计不足而被攻击、资产被盗的事件屡屡发生,且一旦出现问题,往往涉案金额巨大,损失惨重。

在这当中,有的是因为合约未经审计,导致安全漏洞被黑客利用,例如著名的加密货币平台Poly Network就是因此而被黑客侵入,最终损失6.1亿美金;有的是因为节省预算,导致合约只审计了一部分,同样给黑客留下了可乘之机。

图片来自:Poly Network

不管是区块链平台,还是数字藏品项目,要想获得长期、持久、健康、有序的发展,安全是首要前提和重中之重。如果没有经过安全审计或者审计不全,那么智能合约无异于装上了一个不定时炸弹。不管是平台方,还是参与其中的用户,都像是在埋满地雷的土地上里行走,平台数据、资产都完全裸露在风险面前,随时都可能遭遇暴雷事件——平台方不仅需要赔付用户巨额损失,还可能因此赔上整个项目的声誉的前景。文章开头出现的信息,无疑正是这方面的反面教材。

所以,一个优质的区块链或者数字藏品项目,首先必须是一个安全的项目,而智能合约的安全就是项目安全最重要的基础。

智能合约要想安全,审计、检测就必须进行得全面而细致——设计、编码、管理、运营、监控、事件处理等缺一不可,不能有任何侥幸心理,否则可能将因小失大,得不偿失。

针对智能合约的安全性,可使用多种自动或半自动的安全检测手段扫描合约中的代码,查堵其中的安全漏洞。

目前,行业常用的审计方法主要有三类:静态扫描、动态扫描和形式化验证。三类办法,各有千秋。

其中,静态扫描是通过模式匹配等方式直接查找代码中问题的审计办法,如果代码符合某个模式,即代表代码存在对应的问题。在整个扫描过程中,扫描工具本身不会执行智能合约当中的代码。静态扫描的优势在于速度较快,但缺点是会出现一定的误报率。就目前而言,市场上,使用广且结果覆盖全的开源静态扫描工具,数量并不多。

与静态扫描对应的是动态扫描。动态扫描根据运行智能合约代码过程中的状态,来判断是否存在安全漏洞。相比于静态扫描,动态扫描的速度较慢,且容易出现漏报。

此外,还有一种办法,就是形式化验证。这种方式是在智能合约的生命周期内,通过数学建模和智能化分析的方式,来验证智能合约是否满足核心指标,进而判断安全性。相比于前面两种办法,这种办法可有效确定合约代码的运行结果是否符合预期。

作为一家可信数据基础设施提供商,八分量基于形式化验证等技术,开发出区块链检测平台,对数字藏品或者区块链执行环境的代码规范性、业务逻辑安全性以及其他安全问题进行审计、检测,从而协助开发者发现合约中的潜在安全隐患,封堵安全漏洞,增强合约安全性。

八分量区块链检测平台的智能测试工具或者测试用例,以API或安装包的形式对外提供服务,主要分为四种服务模式——

01测试工具以API形式对外提供服务

(责任编辑：admin)