关心成都链安科技的朋友大家好,感谢一直以来的关心和支持,在过去的一周里,成都链安科技的各项工作都在稳定的推进,以下是本周周报的详情内容:
本周,CSDN区块链大本营采访了成都链安科技CEO杨霞。
近期智能合约安全问题频繁出现,针对这些安全问题,成都链安科技尝试将原本应用于军工领域的「形式化验证」方法,应用于智能合约安全审计。形式化验证(formal verification)是基于数学建模方法对系统进行描述,通过形式化验证,开发者可以对程序的安全性事先进行审查,排除逻辑漏洞和安全漏洞,从而保证合约的安全。
此次采访中,链安科技创始人/CEO杨霞就形式化验证的现状、原理以及市场情况作了深入探讨,关于形式化验证的更多细节点击下方链接了解:
那些被一行代码蒸发1个亿的智能合约,形式化验证了解一下? | 人物志
同时,本周布洛克财经创始人时艳强也采访了杨霞。
时艳强在采访中,就杨霞创建链安科技初衷、VaaS平台是如何进行安全验证、技术优势、以太坊智能合约安全漏洞、交易所安全问题等做出了提问,杨霞进行了详细的解答,获得了在场采访人员的认可,更多采访细节请点击下方链接了解:
时艳强对话杨霞:智能合约的安全bug,有可能让你的资产瞬间归零
近期,有人发现并报道了ERC20标准的approve方法存在巨大安全漏洞,声称该漏洞会导致所有使用该标准发布的代币存在被向量攻击的风险,且被其命名为“jaeden”。
成都链安科技针对此漏洞进行了深入分析和探讨,详细解释出了“jaeden漏洞”是什么,如何规避“jaeden漏洞”,并且最终一致认为将此问题归结为安全的“重大漏洞”有点夸大,其本质是区块链交易过程的排队机制会造成插队现象,从而引起了操作结果的不唯一性。
此外,对于最近有人报道的关于铸币函数Mint的高危漏洞问题,链安科技也进行了分析,我们认为mint函数不一定导致恶意增发。我们对以太坊市值Top 500的代币合约进行了审计,发现有107个合约使用的mint函数,可使代币发起方实现代币的无限增发。
我们将此情况与交易所进行了及时反馈,通过跟项目方和交易所的沟通发现,并不是所有的铸币函数都是高危漏洞,有的合约使用该函数是因为代币发起方项目必不可少的功能需求。当然,也不排除有的项目方会利用该函数恶意增发的可能。
两次“漏洞”事件,详细技术分析,请点击下方链接了解:
辟谣!关于网传的ERC20 approve函数重大安全漏洞,大家不必过度慌张!