2021年4月11日,通付盾攜手OWASP中國,舉行“智能合約安全”線上直播分享,來自通付盾SharkTeam團隊安全專家為大家解析智能合約安全攻與防,并發(fā)布了《通付盾2021年Q1智能合約安全態(tài)勢感知報告》(以下簡稱‘報告’)。這是通付盾首次以報告形式,面對日益突出的區(qū)塊鏈安全問題,及以太坊智能合約漏洞不斷增多的現(xiàn)狀,向公眾作出的總結(jié)性披露。
智能合約這一概念最早由計算機學(xué)家和法學(xué)家尼克·薩博在20世紀(jì)90年代提出,作為區(qū)塊鏈系統(tǒng)的重要組成部分,智能合約極大地擴展了區(qū)塊鏈的應(yīng)用場景與現(xiàn)實意義。相比于普通的程序,智能合約更容易成為攻擊者的目標(biāo),一方面,對智能合約的攻擊有更高的經(jīng)濟價值,已成為近年來安全事件的高發(fā)地;而更為重要的是,引入智能合約的初衷在于借助區(qū)塊鏈的特性來保證合約的可信賴,而智能合約漏洞會使得合約出現(xiàn)非預(yù)期的行為,從而可能使其變?yōu)橐环?ldquo;不平等合約”,從而失去了智能合約的意義。一次又一次的安全事件表明,智能合約的安全形勢十分嚴(yán)峻,對于智能合約安全的審計和保護也十分迫切。
作為國內(nèi)最早布局智能合約審計的安全團隊,通付盾SharkTeam團隊一直致力于區(qū)塊鏈安全的研發(fā)工作,歷經(jīng)數(shù)年沉淀,在去中心數(shù)字身份認(rèn)證、區(qū)塊鏈密碼、智能合約安全等方向,團隊積累了大量的安全經(jīng)驗,并在此次報告中體現(xiàn)。
報告中,通付盾區(qū)塊鏈安全團隊(SharkTeam)選取了主流的41個以太坊區(qū)塊鏈項目,并對覆蓋高級語言層、虛擬機層、區(qū)塊鏈層、業(yè)務(wù)邏輯層的75項常見安全問題進行了自動化安全掃描,共計發(fā)現(xiàn)安全問題2192項。針對所發(fā)現(xiàn)的安全問題,報告從漏洞位置分布、危害等級分布、典型安全事件、攻擊原理分析、安全防范技術(shù)等維度對這些安全風(fēng)險和防范手段進行全面的分析,幫助開發(fā)者有效保障智能合約安全。
此外,通付盾還對智能合約的安全進行系統(tǒng)化研究,從系統(tǒng)性安全的角度去分析智能合約的安全問題,并提出了智能合約安全的四層威脅模型,即來自于高級語言、虛擬機、區(qū)塊鏈、業(yè)務(wù)邏輯四個層面100多類智能合約安全漏洞,構(gòu)建智能合約安全漏洞庫,為智能合約安全問題進行漏洞編號(TVE:Tongfudun Smart Contract Vulnerabilities & Exposures),并為開發(fā)者和用戶提供專業(yè)的安全修復(fù)建議。
項目開發(fā)團隊可參考通付盾區(qū)塊鏈安全團隊的安全建議,完善合約開發(fā)和發(fā)布流程,從設(shè)計、開發(fā)、測試、審計到部署、監(jiān)控、應(yīng)急響應(yīng),保護智能合約全生命周期安全。
關(guān)于通付盾SharkTeam:
通付盾區(qū)塊鏈安全團隊(SharkTeam)專注于智能合約安全,由擁有多年一線網(wǎng)絡(luò)安全實戰(zhàn)經(jīng)驗的團隊成員組成,精通區(qū)塊鏈和智能合約底層原理,具備完善的區(qū)塊鏈漏洞挖掘和智能合約審計能力,可提供全面的威脅建模、合約審計、應(yīng)急響應(yīng)服務(wù),已幫助多個知名區(qū)塊鏈項目發(fā)現(xiàn)并修復(fù)安全漏洞,致力于保護用戶數(shù)字資產(chǎn)安全與隱私安全。
" In Math,We Trust !"
關(guān)于OWASP中國:
OWASP是一個開源的、非盈利的全球性安全組織,致力于應(yīng)用軟件的安全研究。目前OWASP全球擁有250個分部近7萬名會員,共同推動了安全標(biāo)準(zhǔn)、安全測試工具、安全指導(dǎo)手冊等應(yīng)用安全技術(shù)的發(fā)展。近幾年,OWASP峰會以及各國OWASP年會均取得了巨大的成功,推動了數(shù)以百萬的IT從業(yè)人員對應(yīng)用安全的關(guān)注以及理解,并為各類企業(yè)的應(yīng)用安全提供了明確的指引。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )