Zero Time Technology - ブロックチェーン セキュリティの分野に焦点を当てる
2018年11月に設立されたShenzhen Zero Time Technology Co., Ltd.(略称:Zero Time Technology)は、ブロックチェーンの生態学的セキュリティに焦点を当てた実用的で革新的なネットワークセキュリティ企業であり、チームはブロックチェーンのセキュリティとアプリケーション技術の研究に根ざしており、豊富な人工知能データ分析と処理を組み合わせたセキュリティ攻撃と防御の経験により、ユーザーにブロックチェーン セキュリティ脆弱性リスク検出、セキュリティ監査、セキュリティ防御、資産トレーサビリティ、およびエンタープライズ レベルのブロックチェーン アプリケーション向けの革新的なソリューションを提供します。
より多くの人々がブロックチェーンとブロックチェーンチェーンのセキュリティを理解できるように、ゼロアワーテクノロジーのブロックチェーンセキュリティに関する100の質問が正式に開始され、ブロックチェーン業界の知識とブロックチェーンエコロジカルアプリケーションに存在するセキュリティ問題がわかりやすい言語で説明されます。
序文
現在のブロックチェーン技術とアプリケーションはまだ急速な開発の初期段階にあり、ブロックチェーンのエコロジカル アプリケーションのセキュリティから、スマート コントラクトのセキュリティ、コンセンサス メカニズムのセキュリティ、およびセキュリティに至るまで、さまざまなセキュリティ リスクに直面しています。セキュリティの問題は広く分散しており、リスクは高く、エコシステム、セキュリティ監査、技術アーキテクチャ、プライバシー データ保護、およびインフラストラクチャの全体的な開発に新たな試練をもたらします。
PART01-スマートコントラクト監査プロセスの紹介
契約の安全性を確認するために、さまざまな攻撃を一般的にテストし、さまざまな攻撃シナリオをシミュレートし、標準的な監査プロセスを通じてセキュリティ レビューを実施して、契約が安全であることを確認します。
通常の監査プロセスには、監査契約の内容、監査時間、監査予算など、早い段階でアプリケーション監査の要件に関する連絡を含める必要があります。監査要件が決定された後、契約に署名する必要があります。合意に達した後、セキュリティ チームはセキュリティ監査を開始し、監査レポートの出力、開発チーム レポートのセキュリティ問題を修正するために、セキュリティ チームは変更後の再テストを支援し、セキュリティ問題が修正されたことを確認します。契約のセキュリティを修正および改善します。
スマート コントラクト コードの監査方法:
- スマートコントラクトプロトコルの論理的な運用プロセスを理解する
- スマート コントラクト ロジックの設計仕様と設計目的を分析する
- スマート コントラクトのセキュリティ リスクをテストするためのツール
- スマート コントラクトに対する一般的な攻撃方法をテストする
- プロジェクト プロセスに従って、シミュレーション アルゴリズムの脆弱性テストを実行します。
PART02-スマートコントラクトの一般的な脆弱性とは?
1) イーサリアムスマートコントラクト
- 再入攻撃
- 浮動小数点と数値の精度
- 予期せぬエーテル
- 整数オーバーフロー
- 再入攻撃
- 浮動小数点と数値の精度
- デフォルトの可視性
- 送信元認証
- 間違ったコンストラクタ
- 検証されていない戻り値
- 安全でない乱数
- タイムスタンプ依存
- 取引順序依存
- デリゲートコール コール
- コールコール
- サービス拒否
- 論理設計の欠陥
- 誤った再充電の抜け穴
- ショートアドレス攻撃
- 初期化されていないストレージ ポインタ
- トークン発行
- アカウント凍結バイパス
- 契約ガスの最適化
- 変数オーバーライド
- 悪意のあるバックドア
2) EOS契約
- 権限検証の脆弱性
- 振込通知の偽造脆弱性
- 申請機能の権限確認の脆弱性
- 整数オーバーフローの脆弱性
- 権限検証の脆弱性
- 振込通知の偽造脆弱性
- 申請機能の権限確認の脆弱性
- 弱い乱数シードの脆弱性
- フリーズ アカウント バイパスの脆弱性
- サービス拒否の脆弱性
- コード ロジックの脆弱性
- 偽札攻撃
- ロールバック攻撃
- リプレイ攻撃
- 悪意のあるバックドア
PART03-スマートコントラクト監査レポートの構造
1) 監査報告書の表紙:
監査レポートの表紙には、監査対象の名前、監査チーム、およびレポートのリリース日が反映されています。
2) 監査の概要とプロジェクトの背景:
概要とプロジェクトの背景の詳細な分割により、監査レポートがより明確になり、プロジェクトの背景は、プロジェクトの概要と監査範囲の詳細な紹介を提供します。
3) 契約構造分析:
ディレクトリ構造とコントラクトの詳細を通じて、プロジェクト コントラクト ファイルと対応するコントラクトの主要なメソッド パラメーターを記述します。
4) 監査の詳細:
監査の詳細では、契約監査プロセスに関連するリスクは、主に、リスク名、脆弱性の説明、リスク レベル、セキュリティの推奨事項、修復ステータス、および監査結果を含む、リスク分散およびリスク監査の詳細を通じて紹介されます。
プロジェクト関係者のセキュリティを気にする投資家としては、上記の部分でプロジェクトのレビュー方法を基本的に理解でき、残りの部分は、監査チームのセキュリティ監査ツールの紹介、免責事項と基本情報です。セキュリティ監査チーム。
- スマート コントラクト監査レポートは、コードのセキュリティを検証するための法的文書ではありません。コードが間違いを犯したり、将来的に脆弱性を作成したりしないことを 100% 確信できる人はいません。プロジェクトの監査チームの監査レポートは、監査チームがプロジェクトのセキュリティ評価を実施したことを意味するだけであり、コードが専門家によって編集され、基本的に安全であることを保証するだけです。選択する権利は、最終的にプロジェクトの当事者と投資家の手に委ねられています。
- ブロックチェーンのセキュリティに関する 100 の質問は継続的に更新されており、誰もがコメントしてバックグラウンドで自分の意見を残すことができます。