前言
当前区块链技术和应用尚处于快速发展的初级阶段,面临的安全风险种类繁多,从区块链生态应用的安全、到智能合约安全、共识机制安全和底层基础组件安全、安全问题分布广泛且危险性高、对生态体系、安全审计、技术架构、隐私数据保护和基础设施的全局发展提出了全新的考验。
0X01
区块链安全主要涉及哪些方面?
0X02
区块链安全审计的必要性
区块链行业是一个比较特殊的行业,最突出的特点就是涉及大量数字加密资产的管理,动辄千万上亿的资产全部存在链上,通过一个特有的私钥来确权,谁掌握了这个私钥,谁就是资产的主人。
这使得信息安全在区块链行业的重要性空前提升。可以说对于区块链行业来说,没有安全就没有一切。这不是危言耸听,随着各类安全事件的不断披露,区块链行业对信息安全的重视度也持续升温。
0X03
区块链安全审计和用户的关系
1. 区块链技术带来的资产数字化,使得大量数字加密资产存储在链上,不光人人都看得见,让黑客还有了摸得着的机会,在巨额资产的诱惑下,黑客的攻击动力几乎是无限的;
2. 数字加密资产变现非常容易,与传统的数据盗窃然后非常费劲的变现不同,数字加密资产可以直接通过7*24的交易所变现;
3. 数字加密资产的匿名特性使得黑客非常容易逃避追查,安全性更高。
4. 区块链技术虽然是去中心化的,但是这个行业存在大量的基础设施是中心化的,并且区块链的实现也依赖于很多传统的IT基础设施,如手机、云主机、web service等,这使得黑客可以借助原先的技术手段和工具,攻击门槛并不高。
0X04
什么是智能合约?
0X05
智能合约审计是什么?
智能合约审计其实就是仔细研究代码的过程,即把合约部署到以太坊(假设此项目是运行在以太坊上的)主网络中,并对其进行错误、漏洞和风险等方面的审查,然后讨论如何改进。因为合约一旦部署不可修改、合约执行后不可逆、所有执行事务可追踪;所以智能合约审计就成为重中之重的工作。
0X06
智能合约审计的必要性
0X07
智能合约审计流程介绍
0X08
智能合约常规漏洞有哪些?
1)以太坊智能合约
-
重入攻击
-
浮点数和数值精度
-
非预期的Ether
-
整数溢出
-
重入攻击
-
浮点数和数值精度
-
默认可见性
-
Tx.origin身份验证
-
错误的构造函数
-
未验证返回值
-
不安全的随机数
-
时间戳依赖
-
交易顺序依赖
-
Delegatecall调用
-
Call调用
-
拒绝服务
-
逻辑设计缺陷
-
假充值漏洞
-
短地址攻击
-
未初始化的存储指针
-
代币增发
-
冻结账户绕过
-
合约Gas 优化
-
变量覆盖
-
恶意后门
2)EOS合约
-
权限校验漏洞
-
转账通知伪造漏洞
-
Apply函数权限校验漏洞
-
整数溢出漏洞
-
权限校验漏洞
-
转账通知伪造漏洞
-
Apply函数权限校验漏洞
-
弱随机数种子漏洞
-
冻结账户绕过漏洞
-
拒绝服务漏洞
-
代码逻辑漏洞
-
假币攻击
-
回滚攻击
-
重放攻击
-
恶意后门
0X09
智能合约审计报告的结构
推荐阅读
-
交易所安全测试--信息收集 -
交易所安全测试--信息收集进阶篇 -
交易所安全测试--业务逻辑 -
交易所安全测试--信息泄露 -
交易所安全测试--输入输出安全 -
交易所安全测试--配置安全 -
交易所安全测试--用户认证 -
交易所安全测试--接口安全 -
交易所安全测试--APP安全测试 · 上篇 -
交易所安全测试--APP安全测试 · 下篇
点赞,转发,在看
文章来源
公众号:零时科技
已获授权转发
本文始发于微信公众号(HACK学习君):干货|区块链安全学习入门指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论