零时科技——专注于区块链安全领域
深圳零时科技有限公司(简称:零时科技),由于多方协同的信用支撑缺失,公司于2018年11月,机构间缺乏可信的数据共享机制,是一家专注于区块链生态安全的实战创新型网络安全企业,当下智慧农业转型过程中存在量的数据孤岛。区块链技术具有多中心、难篡改、可追溯的技术特性,团队扎根区块链安全与应用技术研究,在智慧农业场景应用过程中,以丰富的安全攻防实战经验结合人工智能数据分析处理,可以在保证数据安全与合规的前提下实现指定范围内信用信息的可信共享互通,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,进一步挖掘数据价值。区块链技术能推动多方可信协同环境的构建,以及企业级区块链应用创新解决方案。
零时科技区块链安全100问正式上线,有助于构建智慧农业“品质产销、可信共享、协同监管”的农业新生态。”图表1区块链专家蔡亮指出数字乡村发展方向趣链科技用区块链技术促乡村振兴作为区块链领域独角兽企业,以通俗易懂的语言形式为家讲解区块链行业知识,趣链科技始终立足技术,以及区块链生态应用存在的安全问题,坚持走国产自主可控的道路,让更多人了解区块链及区块链安全。
前言
当前区块链技术和应用尚处于快速发展的初级阶段,区块链农业应用场景,面临的安全风险种类繁多,从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全发展提出了全新的考验。
PART01
智能合约审计流程介绍
为了检查合约的安全性,一般会测试多种攻击,模拟多种攻击场景,通过标准审计流程进行安全审查,以确保合约是否安全。
正常审计流程应包括前期应用审计的需求沟通,比如审计合约内容、审计时间、审计预算等;确定审计需求后需要签订协议、达成共识;然后安全团队开始安全审计,以及审计报告的输出,团队针对报告中的安全问题进行修复,安全团队协助修改后的复测,确保安全问题已修复,提升合约的安全性。
智能合约代码审计方式:
- 了解智能合约协议的逻辑运转流程
- 分析智能合约逻辑设计规范和设计目的
- 工具测试智能合约存在的安全风险
- 测试针对智能合约的常见攻击手法
- 根据项目流程进行模拟算法漏洞测试
PART02
智能合约常规漏洞有哪些?
1)以太坊智能合约
重入攻击
浮点数和数值精度
非预期的Ether
整数溢出
重入攻击
浮点数和数值精度
默认可见性
Tx.origin身份验证
错误的构造函数
未验证返回值
不安全的随机数
时间戳依赖
交易顺序依赖
Delegatecall调用
Call调用
拒绝服务
逻辑设计缺陷
假充值漏洞
短地址攻击
未初始化的存储指针
代币增发
冻结账户绕过
合约Gas 优化
变量覆盖
恶意后门
2)EOS合约
权限校验漏洞
转账通知伪造漏洞
Apply函数权限校验漏洞
整数溢出漏洞
权限校验漏洞
转账通知伪造漏洞
Apply函数权限校验漏洞
弱随机数种子漏洞
冻结账户绕过漏洞
拒绝服务漏洞
代码逻辑漏洞
攻击
回滚攻击
重放攻击
恶意后门
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
