區(qū)塊鏈里的智能合約安全-創(chuàng)新互聯(lián)

寫在開頭

網(wǎng)站的建設(shè)成都創(chuàng)新互聯(lián)公司專注網(wǎng)站定制,經(jīng)驗(yàn)豐富,不做模板,主營(yíng)網(wǎng)站定制開發(fā).小程序定制開發(fā),H5頁(yè)面制作!給你煥然一新的設(shè)計(jì)體驗(yàn)!已為宴會(huì)酒店設(shè)計(jì)等企業(yè)提供專業(yè)服務(wù)。

    在我寫這遍文章的時(shí)候,距離EOS曝出漏洞已經(jīng)有三天時(shí)間,區(qū)塊鏈行業(yè)熱點(diǎn)來的快去的也快,每每出現(xiàn)安全相關(guān)問題,都會(huì)給整個(gè)行業(yè)帶來震蕩。自從我開始關(guān)注區(qū)塊鏈行業(yè)以來,安全事故有增無(wú)減,交易平臺(tái)、智能合約、共識(shí)機(jī)制等等都成了安全事故的中心。

    但是近年來,智能合約明顯已經(jīng)被×××死死盯上了。從前年的THE DAO再到今年的BEC。與此同時(shí)網(wǎng)上也出現(xiàn)了很多不同的聲音,有人為智能合約的巧妙性叫好,有人也為智能合約的安全性唱衰。本文不會(huì)對(duì)智能合約本身優(yōu)劣進(jìn)行探討,只針對(duì)如何保證智能合約安全來進(jìn)行深入,歡迎留言討論。

第一部分:智能合約基本原理

    智能合約本質(zhì)是一段運(yùn)行在區(qū)塊鏈網(wǎng)絡(luò)中的代碼,它完成用戶所賦予的業(yè)務(wù)邏輯。通俗的來說,相當(dāng)于是一個(gè)“不可改變”且“公正”的“中間人”。舉一個(gè)例子,我跟你打一個(gè)賭,如果明天下雨,算我贏,如果明天沒下雨,就是你贏了。然后我們?cè)诖蛸€的時(shí)候就把錢放進(jìn)一個(gè)智能合約控制的賬戶內(nèi),第二天過去了,×××的結(jié)果出來了以后,智能合約就可以根據(jù)收到的指令自動(dòng)判斷輸贏,并進(jìn)行轉(zhuǎn)賬。這個(gè)過程是高效,透明的執(zhí)行過程,不需要公正等第三方介入。

    比如我們熟悉的以太坊,它的智能合約業(yè)務(wù)邏輯就是代幣發(fā)幣和交易。以太坊在設(shè)計(jì)之初,將智能合約設(shè)計(jì)成了一旦部署就不能修改的模式。這種設(shè)計(jì)是為了提高智能合約的可信性。但是只要是人編寫的程序,不可避免的就會(huì)產(chǎn)生漏洞。所以,當(dāng)有漏洞出現(xiàn)時(shí),想要再挽回?fù)p失就很大了。

第二部分:智能合約安全

前面講到,智能合約本質(zhì)就是一段代碼,并且發(fā)布之后不可修改。若在發(fā)布之后發(fā)現(xiàn)了嚴(yán)重的漏洞,就只能重新部署新的合約,這對(duì)廠商來說代價(jià)太大了。那么要想這段保證代碼的安全,就一定要在發(fā)布之前對(duì)智能合約進(jìn)行代碼審計(jì)。除開需要第三方的代碼審計(jì)之外,團(tuán)隊(duì)在開發(fā)的過程中,也是有方法可以用來提高智能合約的安全。

1. 代碼一定要測(cè)試!


2. 代碼一定要review!


    不要看小看這簡(jiǎn)單的兩點(diǎn),絕大多數(shù)的代碼問題都能在這個(gè)過程中發(fā)現(xiàn)。下面我將白帽安全研究院給出的如何避免開發(fā)業(yè)務(wù)層代碼安全問題放在下面。有需要的可以一一對(duì)應(yīng)對(duì)自己的代碼做一個(gè)審核。


1.  盡量避免外部調(diào)用?


2.  仔細(xì)權(quán)衡再發(fā)生重要操作時(shí)的代碼邏輯,避免邏輯陷阱


3.  處理外部調(diào)用錯(cuò)誤?


4.  不要假設(shè)你知道外部調(diào)用的控制流程?


5.  標(biāo)記不受信任的業(yè)務(wù)內(nèi)容?


6.  正確的使用斷言?


7.  小心整數(shù)除法的四舍五入?


8.  不要假設(shè)業(yè)務(wù)創(chuàng)建時(shí)余額為零


9.  記住鏈上的數(shù)據(jù)是公開的?


10. 在雙方或多方參與的業(yè)務(wù)應(yīng)用中,參與者可能會(huì)“脫機(jī)離線”后不再返回


11. 明確標(biāo)明函數(shù)和狀態(tài)變量的可見性


12. 將程序鎖定到特定的編譯器版本


13. 小心分母為零?


14. 區(qū)分函數(shù)和事件?


15. 避免死循環(huán)?


16. 升級(jí)有問題的業(yè)務(wù)層代碼


    除了自己對(duì)代碼的審核外,請(qǐng)第三方安全機(jī)構(gòu)進(jìn)行審核也是很必要的。智能合約審計(jì)嚴(yán)格意義上上來說,是應(yīng)該有個(gè)非常規(guī)范的流程。一半情況至少會(huì)對(duì)以下四點(diǎn)進(jìn)行審核:


1. 函數(shù)可見性審核


2. 合約限制繞過審核


3. 調(diào)用棧耗盡審核


4. 拒絕服務(wù)審核


    通過這四點(diǎn)的審核,至少能把隱私泄露、交易溢出與異常、合約故障和拒絕服務(wù)的問題解決。大大減少智能合約帶來的安全風(fēng)險(xiǎn)。


第三部分:第三方智能合約審計(jì)

    目前有提供智能合約審計(jì)和代碼審計(jì)的安全公司還不太多,我從平時(shí)看的一些快訊里收集到,列出目前比較出名的幾家在做智能合約審計(jì)的安全廠商,供大家參考。

  • 知道創(chuàng)宇:為火幣、Bit-Z提供了合約代碼復(fù)查服務(wù)和云防御服務(wù)。

  • 慢霧科技:為EOS提供節(jié)點(diǎn)安全部署和安全審計(jì)。

  • 360:據(jù)悉曝出EOS漏洞后開始參與代碼審計(jì)。

  • 白帽匯:目前暫不知曉與誰(shuí)合作。

寫在最后

本文只是對(duì)智能合約和智能合約審計(jì)做了一個(gè)非常淺薄的分析。并且區(qū)塊鏈行業(yè)安全問題牽扯到了方方面面。智能合約只是里面的一小部分,后續(xù)會(huì)繼續(xù)寫一些區(qū)塊鏈行業(yè)其他的安全問題,歡迎一起探討。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)名稱:區(qū)塊鏈里的智能合約安全-創(chuàng)新互聯(lián)
文章分享:http://muchs.cn/article42/ejiec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、App設(shè)計(jì)、ChatGPT、靜態(tài)網(wǎng)站、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)