区块链:区块链安全100问 | 第八篇：智能合约自动化审计介绍_SHARK

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

PART01-智能合约自动化审计介绍

随着区块链技术越来越火，并在不同的行业有所应用，如金融、游戏、版权、溯源等；其中出现过不少的安全问题，尤其是区块链的智能合约发展至今，暴露出的问题不少，智能合约的正确性和安全性面临着巨大的问题；在海量的智能合约中，最好的一种设想就是通过自动化审计来降低人工审计的复杂度。同时市场上有安全公司，也推出各自的智能合约自动化安全审计平台，那么今天我们就来介绍一下智能合约自动化审计。

P2E MMO游戏Pixels完成240万美元种子轮融资，Animoca Brands等领投:2月14日消息，专注于元宇宙的P2E MMO游戏Pixels近期宣布完成240万美元种子轮融资，Animoca Brands与PKO Investments领投，OpenSea、Untapped Capital和Leonis Capital参投。Pixels将利用新融资专注于全面构建和扩展最初的游戏功能。[2022/2/14 9:50:19]

我们把自动化审计分为三个部分：

第一种就是特征代码的匹配；第二类就是基于形态化验证的自动化审计；最后一类是基于符号执行和符号抽象的自动化审计。

1）特征代码匹配

首先特定代码匹配。大家从名字上来看应该就能理解到，其实就是对恶意代码进行一些提取抽象，像我们之前做的代码静态检测，我们抽样成一种语义匹配，然后再去匹配它的静态源代码。

动态 | 火币周报：区块链资产市值比上周上涨4.92%:火币区块链行业周报（第六十三期）今日发布，报告显示，本周区块链资产市值比上周上涨4.92%，TOP100项目66个项目市值有不同程度上涨。数据显示，截止2019年5月26日，全球区块链资产总市值达2678.51亿美元，环比上周上涨4.92%。本周比特币算力小幅提高.以太坊算力略有下降，比特币挖矿难度略有上升、以太挖矿难度环比下降;本周比特币的区块平均交易数和区块平均大小均小幅下降，以大坊的区块平均交易数和区块平均大小均持壊上升:比神币，以太妨工费均大幅下降;INS成为代码活跃程度最高的项目。[2019/5/28]

这种审计的方法的优点是显而易见的，比如说速度很快，因为它就是对源码进行一个字符串的匹配。第二是它能够迅速地响应新的漏洞，因为这种审计方法大部分是以插件形式开发，比如出现了一个新的漏洞，我们就可以快速提交一些新的匹配模式。

动态 | 苏宁发布区块链白皮书 将重点推动产品溯源等应用:苏宁今日正式发布《区块链白皮书》，白皮书中重点解释了在智能零售生态+区块链的应用场景，具体包括：用户画像、车联网、会员生态、智慧物流、版权保护、智能家具等六大项目。苏宁科技副总裁乔新亮在发布会现场表示：区块链技术已经应用在苏宁的产品中，正助力智慧零售健康发展。他认为：AI能解决智能客服问题，而区块链能解决各类信用的问题，未来会大规模应用区块链技术，尤其是在与信誉、契约相关的产品溯源上。[2018/7/20]

那么它的缺点在哪里呢？我们所理解的现在的区块链都应该是公开透明的，但实际情况并不是这样，我们大概做了一个统计，目前在以太坊上其实有超过一半的智能合约是不开源的，只暴露一个OPCODE。

OPCODE的分析对于安全人员来说也面临着巨大的挑战，有些人费了十分大的力气，去逆向OPCODE，这就导致了它的适用范围极为有限。

声音 | 中国工程院院士：运用物理学方法有望突破区块链“三元悖论”?:当前的区块链技术难以同时实现“去中介、保安全、高效率”三项目标，被称为遇到“三元悖论”。中国工程院院士李幼平近日接受采访时表示，运用类似于北斗短信之类的物理学方法，有可能突破这一瓶颈。当前各种区块链方案的科学本质，是一种依托哈希变换的自证可信的数学自洽，它可以做到以接近1的概率拒绝一切形式的网络攻击，为网络空间安全提供一线全新的希望。在李幼平看来，区块链的“三元悖论”中“保安全”仍然是发展瓶颈，急需首先突破。“北斗短信”是中国版本全球定位系统中的一项独特的发明，它除了可以把哈希自洽的数据区块直接广播给地球上的任意节点，还可以同时提供时空自洽的真实位置。“哈希自洽杜绝内容篡改，时空自洽杜绝地址造假，数学、物理两类自洽相互印证，将填补当前区块链技术的安全漏洞”李幼平说。[2018/7/16]

其次就是漏报率高。因为它的一些静态审计方法其实并不和传统的静态代码审计方法一致，传统的静态审计方法，比如说APP检测，会调用库里面，确定稳定的一些函数，来对它进行审计，但智能合约里面它的一些函数、它一些特征等等，还是变化性比较多的，所以说它的漏报率会比较高。

2）基于形式化验证的自动化审计

使用形式化验证来审计智能合约安全，将EVM编译后的一些OPCODE，通过特定描述语言转化成了一个形式化的model，然后通过形式化model的验证来去判断它代码中的逻辑是否存在问题。

3）基于符号执行、符号抽象的自动化审计

基于符号执行、符号抽象的自动化审计检测出来的数据还是需要人工进行二次确认，这个工作其实是非常繁琐。

PART02-一个出色的智能合约自动化审计系统该满足什么条件？

1）自动化

要求对智能合约的安全审计，要全自动，或者至少是半自动的，即上传合约源代码或提供智能合约的token地址，即可由系统，自动化进行合约的安全扫描。并且能够按需要配置为周期调度自动进行调度审计。

2）准确性

要求对智能合约的安全审计，误报率低。

3）高效率

要求对智能合约的安全审计必须是高效的，即要求审计的时间不能太长，越快越好。

4）无风险

要求对智能合约的安全审计不会破坏或修改原有的合约的功能。

只有做到了以上4点，才是一个基本合格的智能合约自动化审计系统。

除此之外，如果要做得更加的专业，更出色，还需要满足下面的四个需求：

第一、系统具有智能合约的当前标准规范管理；这样一来，使用者可以在系统上传，下载标准规范进行参考。如果说审计出来的安全问题，能与标准规范相对应，并定位到标准规范是最好的，但是当对智能合约安全审计的标准规范不细或缺乏，做到这一点太难了。

第二、系统的使用操作体验要好；简单举例：

可以采用向导式，引导用户熟悉系统的功能操作。

具备用户自定义合约的行业分类以及所属厂商分类等。

审计出来的安全问题，能定位到行列，并至少能提供此安全问题的修正安全，当然，有自动化修正更好，具备自动化修正功能，相应提供保留原内容的版本，以便可进行回退和比较。

第三、易扩展；当前，区块链的平台技术以及安全专家针对区块链智能合约发现的安全问题的checklist是不断演进的，系统应很好的解决这方面的需求，就需要系统有一个很好的易扩展的设计要求。

第四、对安全审计结果报告展现丰富；能导出PDF，EXCEL，WORD，HTML格式是必需的，报告的展现应有图表，表格元素的体现，当然，要做好这点，需要你对系统的使用方有更多的了解，针对用户做些定制他们关注的报告就更出彩了；报告出彩的功能还可以是报告中有审计历史对比趋势分析等。

标签：区块链比特币AUTOSHARK区块链专业大学排名比特币美元指数Simple Cool Automatic Moneyushark AI token

比特币价格实时行情热门资讯