零时科技——专注于区块链安全领域
深圳零时科技有限公司(简称:零时科技),管理总资金达360亿元,公司于2018年11月,劳务工资拨付资金共计13.48亿元,是一家专注于区块链生态安全的实战创新型网络安全企业,劳务工资拨付人次共计25万人次。平台以区块链技术为支撑,团队扎根区块链安全与应用技术研究,实现工程进度及合同透明管理、资金拨付穿透式管理、多银行系统直联等功能。运用区块链技术上链数据具有不可篡改、可追溯的特性,以丰富的安全攻防实战经验结合人工智能数据分析处理,可以做到项目中工程资金拨付全程留痕,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,并为后续项目审计提供高质量数据保障。平台上数据完整度高,以及企业级区块链应用创新解决方案。
零时科技区块链安全100问正式上线,包含机构信息、用户信息、项目信息、标段信息、合同信息、资金拨付信息等,以通俗易懂的语言形式为家讲解区块链行业知识,保证了工程项目信息的数据完整性,以及区块链生态应用存在的安全问题,方便后续审计相关工作。此外,让更多人了解区块链及区块链安全。
前言
当前区块链技术和应用尚处于快速发展的初级阶段,雄安集团还搭建了电子招标采购平台,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全发展提出了全新的考验。
PART01
智能合约自动化审计介绍
随着区块链技术越来越火,并在不同的行业有所应用,如金融、游戏、版权、溯源等;其中出现过不少的安全问题,尤其是区块链的智能合约发展至今,暴露出的问题不少,智能合约的正确性和安全性面临着巨的问题;在海量的智能合约中,最好的一种设想就是通过自动化审计来降低人工审计的复杂度。同时市场上有安全公司,也推出各自的智能合约自动化安全审计平台,那么今天我们就来介绍一下智能合约自动化审计。
我们把自动化审计分为三个分:
第一种就是特征代码的匹配;第二类就是基于形态化验证的自动化审计;最后一类是基于符号执行和符号抽象的自动化审计。
1)特征代码匹配
首先特定代码匹配。家从名字上来看应该就能理解到,其实就是对恶意代码进行一些提取抽象,像我们之前做的代码静态检测,我们抽样成一种语义匹配,然后再去匹配它的静态源代码。
这种审计的方法的优点是显而易见的,比如说速度很快,因为它就是对源码进行一个字符串的匹配。第二是它能够迅速地响应新的漏洞,因为这种审计方法分是以插件形式,比如出现了一个新的漏洞,我们就可以快速提交一些新的匹配模式。
那么它的缺点在哪里呢?我们所理解的现在的区块链都应该是公开透明的,但实际情况并不是这样,我们概做了一个统计,目前在以太坊上其实有超过一半的智能合约是不开源的,只暴露一个OPCODE。
OPCODE的分析对于安全人员来说也面临着巨的挑战,有些人费了十分的力气,去逆向OPCODE,这就导致了它的适用范围极为有限。
其次就是漏报率高。因为它的一些静态审计方法其实并不和传统的静态代码审计方法一致,传统的静态审计方法,比如说APP检测,会调用库里面,确定稳定的一些函数,来对它进行审计,但智能合约里面它的一些函数、它一些特征等等,还是变化性比较多的,所以说它的漏报率会比较高。
2)基于形式化验证的自动化审计
使用形式化验证来审计智能合约安全,将EVM编译后的一些OPCODE ,通过特定描述语言转化成了一个形式化的model,然后通过形式化model的验证来去判断它代码中的逻辑是否存在问题。
3)基于符号执行、符号抽象的自动化审计
基于符号执行、符号抽象的自动化审计检测出来的数据还是需要人工进行二次确认,这个工作其实是非常繁琐。
