Технология нулевого времени — сосредоточьтесь на области безопасности блокчейна.
Shenzhen Zero Time Technology Co., Ltd.(аббревиатура: Zero Time Technology), основанная в ноябре 2018 г., является практичным и инновационным предприятием в области сетевой безопасности, специализирующимся на экологической безопасности блокчейна. опыт в атаках и защите безопасности в сочетании с анализом и обработкой данных искусственного интеллекта, он предоставляет пользователям обнаружение рисков уязвимостей безопасности блокчейна, аудит безопасности, защиту безопасности, отслеживание активов и инновационные решения для приложений блокчейна корпоративного уровня.
Официально выпущен «100 вопросов о безопасности блокчейна технологии Zero Hour» , объясняющий знание индустрии блокчейна и проблемы безопасности, существующие в экологических приложениях блокчейна, на простом для понимания языке, чтобы больше людей могли понять блокчейн и безопасность цепи блокчейна.
предисловие
Текущая технология и приложения блокчейна все еще находятся на начальной стадии быстрого развития, и они сталкиваются с широким спектром рисков безопасности, от безопасности экологических приложений блокчейна до безопасности смарт-контрактов, безопасности механизмов консенсуса и безопасности. основных базовых компонентов.Проблемы безопасности широко распространены, и риск высок, и это представляет собой новое испытание для общего развития экосистемы, аудита безопасности, технической архитектуры, защиты конфиденциальных данных и инфраструктуры.
PART01- Введение в автоматизированный аудит смарт-контрактов
По мере того, как технология блокчейна становится все более популярной и применяется в различных отраслях, таких как финансы, игры, авторское право, отслеживаемость и т. д., возникло много проблем с безопасностью, особенно после разработки смарт-контрактов на основе блокчейна. раскрыты, а правильность и безопасность смарт-контрактов сталкиваются с огромными проблемами; среди массовых смарт-контрактов лучшая идея — уменьшить сложность ручного аудита за счет автоматизированного аудита. В то же время на рынке есть компании, занимающиеся безопасностью, которые также запустили свои собственные автоматизированные платформы аудита безопасности смарт-контрактов, поэтому сегодня мы представим автоматизированный аудит смарт-контрактов.
Мы разделяем автоматизированный аудит на три части:
Первый тип — сопоставление кодов признаков, второй тип — автоматизированный аудит, основанный на морфологической проверке, последний тип — автоматизированный аудит, основанный на символьном выполнении и символьной абстракции.
1) Сопоставление кода функции
Сначала совпадает конкретный код. Из названия должно быть понятно, что он на самом деле извлекает и абстрагирует вредоносный код.Как и статическое обнаружение кода, которое мы делали ранее, мы сэмплируем его для семантического сопоставления, а затем сопоставляем его статический исходный код.
Преимущества этого метода аудита очевидны, например, скорость очень высокая, потому что это строковое сопоставление исходного кода. Во-вторых, он может быстро реагировать на новые уязвимости, потому что большая часть этого метода аудита разработана в виде плагинов, например, если появляется новая уязвимость, мы можем быстро представить некоторые новые соответствующие шаблоны.
Так в чем его недостатки? Мы понимаем, что нынешний блокчейн должен быть открытым и прозрачным, но на самом деле ситуация обстоит иначе.Возможно, мы сделали статистику.В настоящее время более половины смарт-контрактов на Ethereum не имеют открытого исходного кода, и только один выставлен. КОД ОПЦИИ.
Анализ OPCODE также сталкивается с огромными проблемами для сотрудников службы безопасности.Некоторые люди тратят много усилий на реверсирование OPCODE, что приводит к крайне ограниченной сфере его применения.
Во-вторых, высокий процент ложных срабатываний. Поскольку некоторые из его методов статического аудита на самом деле не согласуются с традиционными методами аудита статического кода.Традиционные методы статического аудита, такие как обнаружение приложений, будут вызывать некоторые стабильные функции в библиотеке для его аудита, но смарт-контракт Некоторые из его функций, некоторые его особенности и т. д. еще более изменчивы, поэтому его ложноотрицательный уровень будет относительно высоким.
2) Автоматизированный аудит на основе формальной проверки
Используйте формальную проверку для аудита безопасности смарт-контрактов, преобразуйте некоторые OPCODE, скомпилированные EVM, в формальную модель с помощью определенного языка описания, а затем оцените, есть ли проблема с логикой в коде, посредством проверки формальной модели.
3) Автоматический аудит на основе символьного выполнения и символьной абстракции.
Данные, обнаруженные автоматическим аудитом на основе символьного выполнения и символьной абстракции, по-прежнему необходимо снова подтверждать вручную, что на самом деле очень громоздко.
ЧАСТЬ 02. Каким условиям должна соответствовать превосходная автоматизированная система аудита смарт-контрактов?
1) Автоматизация
Аудит безопасности смарт-контракта должен быть полностью автоматическим или, по крайней мере, полуавтоматическим, то есть загружать исходный код контракта или предоставлять адрес токена смарт-контракта, и система может автоматически сканировать безопасность контракт. При необходимости его можно настроить для периодического планирования (например, ежемесячно, раз в полгода) для автоматического планирования аудитов.
2) Точность
Требуется аудит безопасности смарт-контрактов с низким уровнем ложных срабатываний.
3) Высокая эффективность
Требуется, чтобы аудит безопасности смарт-контрактов был эффективным, то есть время аудита не должно быть слишком долгим, чем раньше, тем лучше.
4) Нет риска
Требуется, чтобы аудит безопасности смарт-контракта не разрушал и не изменял функцию исходного контракта.
Только при достижении вышеуказанных 4 пунктов это в основном квалифицированная автоматизированная система аудита смарт-контрактов.
Кроме того, если вы хотите быть более профессиональным и выдающимся, вам необходимо выполнить следующие четыре требования:
Во-первых, система имеет текущее управление стандартными спецификациями смарт-контрактов , таким образом, пользователи могут загружать и загружать стандартные спецификации в систему для справки. Лучше всего, если проверяемые проблемы безопасности могут соответствовать стандартным спецификациям и находиться в стандартных спецификациях, но это слишком сложно сделать, когда стандарты и спецификации для аудита безопасности смарт-контрактов не детализированы или отсутствуют.
Во-вторых, опыт эксплуатации системы лучше , простой пример:
(1) Для ознакомления пользователей с функциональной работой системы можно использовать мастер.
(2) Отраслевая классификация и классификация производителей с пользовательскими контрактами.
(3) Проверенная проблема безопасности может быть обнаружена в рангах и, по крайней мере, обеспечить безопасность исправления этой проблемы безопасности. Конечно, лучше иметь автоматическое исправление. С функцией автоматического исправления, соответственно, предоставить версию, которая сохраняет исходный контент, чтобы его можно было вернуть. Вернуть и сравнить.
В-третьих, его легко расширять ; в настоящее время технология платформы блокчейна и контрольный список экспертов по безопасности для смарт-контрактов блокчейна постоянно развиваются.Хорошее требование к дизайну для легкого расширения.
В-четвертых, представление отчета о результатах аудита безопасности богато , необходима возможность экспорта в форматы PDF, EXCEL, WORD и HTML. Представление отчета должно включать диаграммы и табличные элементы. понимание, и будет еще более блестящим, чтобы настроить отчеты, которые они заботят для пользователей; выдающаяся функция отчета также может заключаться в том, что анализ тенденций сравнения истории аудита в отчете и т. д.
- 100 вопросов о безопасности блокчейна постоянно обновляются, и каждый может оставить комментарий и оставить свое мнение в фоновом режиме.