寫在開頭
創(chuàng)新互聯(lián)成立于2013年,先為密山等服務建站�,密山等地企業(yè),進行企業(yè)商務咨詢服務���。為密山企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題�����。
在我寫這遍文章的時候�����,距離EOS曝出漏洞已經(jīng)有三天時間�,區(qū)塊鏈行業(yè)熱點來的快去的也快��,每每出現(xiàn)安全相關(guān)問題��,都會給整個行業(yè)帶來震蕩�����。自從我開始關(guān)注區(qū)塊鏈行業(yè)以來��,安全事故有增無減�,交易平臺、智能合約����、共識機制等等都成了安全事故的中心。
但是近年來�����,智能合約明顯已經(jīng)被×××死死盯上了��。從前年的THE DAO再到今年的BEC���。與此同時網(wǎng)上也出現(xiàn)了很多不同的聲音�,有人為智能合約的巧妙性叫好,有人也為智能合約的安全性唱衰����。本文不會對智能合約本身優(yōu)劣進行探討,只針對如何保證智能合約安全來進行深入��,歡迎留言討論��。
第一部分:智能合約基本原理
智能合約本質(zhì)是一段運行在區(qū)塊鏈網(wǎng)絡(luò)中的代碼���,它完成用戶所賦予的業(yè)務邏輯����。通俗的來說��,相當于是一個“不可改變”且“公正”的“中間人”����。舉一個例子,我跟你打一個賭���,如果明天下雨��,算我贏�����,如果明天沒下雨���,就是你贏了。然后我們在打賭的時候就把錢放進一個智能合約控制的賬戶內(nèi)����,第二天過去了,×××的結(jié)果出來了以后�����,智能合約就可以根據(jù)收到的指令自動判斷輸贏�����,并進行轉(zhuǎn)賬���。這個過程是高效��,透明的執(zhí)行過程�����,不需要公正等第三方介入����。
比如我們熟悉的以太坊,它的智能合約業(yè)務邏輯就是代幣發(fā)幣和交易��。以太坊在設(shè)計之初�,將智能合約設(shè)計成了一旦部署就不能修改的模式。這種設(shè)計是為了提高智能合約的可信性�����。但是只要是人編寫的程序���,不可避免的就會產(chǎn)生漏洞�。所以���,當有漏洞出現(xiàn)時�����,想要再挽回損失就很大了���。
第二部分:智能合約安全
前面講到����,智能合約本質(zhì)就是一段代碼�,并且發(fā)布之后不可修改。若在發(fā)布之后發(fā)現(xiàn)了嚴重的漏洞�,就只能重新部署新的合約�,這對廠商來說代價太大了。那么要想這段保證代碼的安全���,就一定要在發(fā)布之前對智能合約進行代碼審計��。除開需要第三方的代碼審計之外���,團隊在開發(fā)的過程中,也是有方法可以用來提高智能合約的安全�����。
1. 代碼一定要測試���!
2. 代碼一定要review����!
不要看小看這簡單的兩點,絕大多數(shù)的代碼問題都能在這個過程中發(fā)現(xiàn)����。下面我將白帽安全研究院給出的如何避免開發(fā)業(yè)務層代碼安全問題放在下面。有需要的可以一一對應對自己的代碼做一個審核����。
1. 盡量避免外部調(diào)用?
2. 仔細權(quán)衡再發(fā)生重要操作時的代碼邏輯,避免邏輯陷阱
3. 處理外部調(diào)用錯誤?
4. 不要假設(shè)你知道外部調(diào)用的控制流程?
5. 標記不受信任的業(yè)務內(nèi)容?
6. 正確的使用斷言?
7. 小心整數(shù)除法的四舍五入?
8. 不要假設(shè)業(yè)務創(chuàng)建時余額為零
9. 記住鏈上的數(shù)據(jù)是公開的?
10. 在雙方或多方參與的業(yè)務應用中�,參與者可能會“脫機離線”后不再返回
11. 明確標明函數(shù)和狀態(tài)變量的可見性
12. 將程序鎖定到特定的編譯器版本
13. 小心分母為零?
14. 區(qū)分函數(shù)和事件?
15. 避免死循環(huán)?
16. 升級有問題的業(yè)務層代碼
除了自己對代碼的審核外,請第三方安全機構(gòu)進行審核也是很必要的���。智能合約審計嚴格意義上上來說�����,是應該有個非常規(guī)范的流程���。一半情況至少會對以下四點進行審核:
1. 函數(shù)可見性審核
2. 合約限制繞過審核
3. 調(diào)用棧耗盡審核
4. 拒絕服務審核
通過這四點的審核,至少能把隱私泄露�、交易溢出與異常、合約故障和拒絕服務的問題解決�����。大大減少智能合約帶來的安全風險。
第三部分:第三方智能合約審計
目前有提供智能合約審計和代碼審計的安全公司還不太多����,我從平時看的一些快訊里收集到,列出目前比較出名的幾家在做智能合約審計的安全廠商�,供大家參考。
知道創(chuàng)宇:為火幣�����、Bit-Z提供了合約代碼復查服務和云防御服務��。
慢霧科技:為EOS提供節(jié)點安全部署和安全審計�。
360:據(jù)悉曝出EOS漏洞后開始參與代碼審計����。
白帽匯:目前暫不知曉與誰合作。
寫在最后
本文只是對智能合約和智能合約審計做了一個非常淺薄的分析���。并且區(qū)塊鏈行業(yè)安全問題牽扯到了方方面面�����。智能合約只是里面的一小部分�,后續(xù)會繼續(xù)寫一些區(qū)塊鏈行業(yè)其他的安全問題,歡迎一起探討����。
網(wǎng)站標題:區(qū)塊鏈里的智能合約安全
本文URL:
http://weahome.cn/article/posiss.html
重慶分公司
重慶分公司
