100 preguntas sobre la seguridad de blockchain | Parte VII: Proceso de auditoría de contratos inteligentes y contenido de auditoría

Enterprise 2023-04-10 02:59:18 views: null

Tecnología Zero Time: enfoque en el campo de la seguridad de blockchain

 Shenzhen Zero Time Technology Co., Ltd. (abreviatura: Zero Time Technology), establecida en noviembre de 2018, es una empresa de seguridad de red práctica e innovadora que se centra en la seguridad ecológica de la cadena de bloques. experiencia en ataque y defensa de seguridad combinada con análisis y procesamiento de datos de inteligencia artificial, brinda a los usuarios detección de riesgos de vulnerabilidad de seguridad de blockchain, auditoría de seguridad, defensa de seguridad, trazabilidad de activos y soluciones innovadoras para aplicaciones de blockchain de nivel empresarial.

Se lanzan oficialmente las 100 Preguntas sobre Seguridad Blockchain de la Tecnología Hora Cero, explicando el conocimiento de la industria blockchain y los problemas de seguridad existentes en las aplicaciones ecológicas blockchain en un lenguaje fácil de entender, para que más personas puedan entender blockchain y la seguridad de la cadena blockchain .

prefacio

La tecnología y las aplicaciones de blockchain actuales aún se encuentran en la etapa inicial de rápido desarrollo y enfrentan una amplia variedad de riesgos de seguridad, desde la seguridad de las aplicaciones ecológicas de blockchain hasta la seguridad de los contratos inteligentes, la seguridad de los mecanismos de consenso y la seguridad. de componentes básicos subyacentes Los problemas de seguridad están ampliamente distribuidos y El riesgo es alto, y plantea una nueva prueba para el desarrollo general del ecosistema, la auditoría de seguridad, la arquitectura técnica, la protección de datos de privacidad y la infraestructura.

 

PART01-Introducción al proceso de auditoría de contratos inteligentes

Para verificar la seguridad del contrato, generalmente se prueban una variedad de ataques, se simulan una variedad de escenarios de ataque y se realizan revisiones de seguridad a través del proceso de auditoría estándar para garantizar que el contrato sea seguro.

El proceso de auditoría normal debe incluir la comunicación sobre los requisitos de la auditoría de aplicación en la etapa inicial, como el contenido del contrato de auditoría, el tiempo de auditoría, el presupuesto de auditoría, etc.; después de determinar los requisitos de auditoría, se debe firmar un acuerdo y se llegó a un consenso; luego, el equipo de seguridad inicia la auditoría de seguridad, y el resultado del informe de auditoría, el equipo de desarrollo Para solucionar los problemas de seguridad en el informe, el equipo de seguridad ayuda a volver a probar después de la modificación para garantizar que los problemas de seguridad se hayan solucionado. fijo y mejorar la seguridad del contrato.

 Método de auditoría de código de contrato inteligente:

- Comprender el proceso de operación lógica del protocolo de contrato inteligente

- Analizar las especificaciones de diseño de lógica de contrato inteligente y los propósitos de diseño

- Herramientas para probar los riesgos de seguridad de los contratos inteligentes.

- Probar métodos de ataque comunes contra contratos inteligentes

- Realizar pruebas de vulnerabilidad de algoritmos de simulación de acuerdo con el proceso del proyecto.

PART02-¿Cuáles son las vulnerabilidades generales de los contratos inteligentes?

1) contrato inteligente Ethereum

  • ataque de reentrada
  • Punto flotante y precisión numérica
  • Éter inesperado
  • desbordamiento de enteros
  • ataque de reentrada
  • Punto flotante y precisión numérica
  • visibilidad predeterminada
  • Autenticación de origen Tx.
  • constructor incorrecto
  • Valor de retorno no validado
  • número aleatorio inseguro
  • Dependiente de la marca de tiempo
  • dependiente del orden de transacción
  • llamada de delegado
  • Llama llama
  • negación de servicio
  • defecto de diseño lógico
  • Laguna de recarga falsa
  • ataque de dirección corta
  • puntero de almacenamiento no inicializado
  • emisión de tokens
  • Congelar anulación de cuenta
  • Optimización de contratos de gas
  • anulación de variables
  • puerta trasera maliciosa

2) contrato EOS

  • Vulnerabilidad de verificación de permisos
  • Vulnerabilidad de falsificación de notificación de transferencia
  • Aplicar vulnerabilidad de verificación de permiso de función
  • vulnerabilidad de desbordamiento de enteros
  • Vulnerabilidad de verificación de permisos
  • Vulnerabilidad de falsificación de notificación de transferencia
  • Aplicar vulnerabilidad de verificación de permiso de función
  • Vulnerabilidad de semilla de número aleatorio débil
  • Congelar vulnerabilidad de omisión de cuenta
  • vulnerabilidad de denegación de servicio
  • Vulnerabilidades de lógica de código
  • ataque con dinero falso
  • ataque de reversión
  • ataque de repetición
  • puerta trasera maliciosa

PART03-Estructura del informe de auditoría de contrato inteligente

1) Portada del informe de auditoría:

La portada del informe de auditoría refleja el nombre del objeto de auditoría, el equipo de auditoría y la fecha de publicación del informe.

2) Descripción general de la auditoría y antecedentes del proyecto:

La división detallada de la descripción general y los antecedentes del proyecto hace que el informe de auditoría sea más claro, y los antecedentes del proyecto brindan una introducción detallada al resumen del proyecto y al alcance de la auditoría.

3) Análisis de la estructura del contrato:

Describa el archivo del contrato del proyecto y los principales parámetros del método del contrato correspondiente a través de la estructura del directorio y los detalles del contrato.

4) Detalles de la auditoría:

En los detalles de la auditoría, los riesgos relevantes en el proceso de auditoría del contrato se introducen principalmente a través de la distribución de riesgos y los detalles de la auditoría de riesgos, incluidos los nombres de los riesgos, las descripciones de las vulnerabilidades, los niveles de riesgo, las recomendaciones de seguridad, el estado de reparación y los resultados de la auditoría.

Como inversor que se preocupa por la seguridad de la parte del proyecto, básicamente puede entender cómo revisar el proyecto a través de las partes anteriores; el resto de la parte es la introducción de las herramientas de auditoría de seguridad del equipo de auditoría, el descargo de responsabilidad y la información básica de el equipo de auditoría de seguridad.

  • Un informe de auditoría de contrato inteligente no es un documento legal para verificar la seguridad del código; nadie puede estar 100% seguro de que el código no cometerá errores o creará vulnerabilidades en el futuro. El informe de auditoría del equipo de auditoría sobre el proyecto solo significa que el equipo de auditoría ha realizado una evaluación de seguridad del proyecto, lo que solo garantiza que su código ha sido editado por expertos y es básicamente seguro. El derecho a elegir está en última instancia en manos de la parte del proyecto y de los inversores.

 

  • Las 100 preguntas sobre la seguridad de la cadena de bloques se actualizan continuamente, y todos pueden comentar y dejar sus propias opiniones en segundo plano.

Supongo que te gusta

Origin blog.csdn.net/m0_37598434/article/details/119726645
Recomendado
Clasificación
Diario
Más
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)

Code World

© 2018 codetd.com