专栏首页区块链大本营关于区块链安全,这四位大咖分享了这么些干货...

关于区块链安全,这四位大咖分享了这么些干货...

7月28日(周六)下午,由CSDN主办,区块链大本营、柏链道捷、极客帮创投协办的“区块链安全”专场沙龙,在北京朝阳区酒仙桥恒通商务园举行。别看今天是周末,全场没有一点辛苦一周后想要休息的迹象,有的听众还专程从华东、华南地区赶来,实足热情高涨!

本期沙龙围绕“区块链安全”问题,以“如何应对区块链安全问题”为主题,邀请4位实力派区块链安全专家,分享了智能合约及公链安全、黑客攻击、漏洞、形式化验证等内容,非常精彩。

作为第一位分享嘉宾,PeckShield研发副总吴家志连夜从外地赶到现场,但他在演讲中丝毫没有漏出疲态,反而越讲越兴奋。在此次演讲中,他以智能合约安全和公链安全两方面作为分享内容。

其中智能合约安全方面,他从最近非常火的Fomo3D游戏开始讲起,这个游戏的中奖机制是在某个时间段交易了0.1ETH,就中奖了。然而通过下图Fomo3D的智能合约可以知道,其中标蓝的几个参数是固定的,只有一个参数是随机的,所以通过计算机来模拟是可以猜出来。这是Fomo3D的智能合约设计不严谨的地方。

.

此外,吴家志还比较几个典型智能合约漏洞,比如:allowAnyone (CVE-2018-11397, CVE-2018-11398)漏洞。攻击者可以选择一个随机Token账户作为_from并将其账户内的Token转移至其他任意地址。

对于公链安全,他提到公链以太坊上运用比较多的客户端有Geth、Parith等,而对Geth的攻击也是非常的多,其中攻击Geth的方式有智能合约、协议栈等方式进行攻击。

来自360的资深安全工程师李佳峰,以360前段时间发现的EOS史诗级漏洞讲起,介绍了区块链的基本概念,以及几种常见的攻击方式。

首先,在安全方面,他认为开发者不应该只关注智能合约,他提到典型区块链技术架构中的工作量证明、权益证明、数字签名等都可能存在安全问题。

此外,在提到区块链开源软件高危漏洞分布情况时,他认为输入的地方是最可能遭到攻击的地方。

而数字交易安全一直是大家比较关心的安全问题,李佳峰讲到交易所中常见的漏洞主要有以下几种:

  • 越权漏洞
  • 验证码漏洞
  • 条件竞争漏洞
  • 认证漏洞

他认为这类漏洞涉及的业务逻辑非常严谨,必须要对每段业务逻辑代码进行大量的模糊测试与代码审计,对可能出现问题逻辑对应的代码人工审计。

对于智能合约的理解,北京知道创宇安全服务部技术专家于超有着不同的理解,他是从安全工程师的角度理解什么是智能合约?智能合约有什么特别之处?会发生什么问题?

对于智能合约,他的理解是:

1.基于区块链技术,一旦部署便不能修改

2.合约账户,仅由合约代码控制,不受人的干扰

而关于智能合约的特别之处,他分享了以下几点:

1.执行代码需要花费gas:

代码越复杂,执行所需的gas越多;

如果调用者提供的gas不足,则已执行代码回滚

调用者可以设置gasPrice,矿工优先处理gasPrice高的交易

区块有gasLimit

2.可以发生/接受ETH

3.函数调用方式

call:正常的调用

delegatecall:神奇的调用,于超解释到这种调用类似于其他语言的import

最后,他通过代码分析,详细解释了提到智能合约可能产生ERC20代币假充值漏洞、重入的问题。

以上都是讲智能合约漏洞方面的,成都链安科技CTO郭文生分享更多的是针对这些漏洞,怎样从审计方面避免安全问题的发生。

他首先介绍了整型溢出、Owner 权限被盗两种类型漏洞。此外,怎样避免安全问题?郭文生出建议,尽量找安全库、做测试、找安全公司审计。他提到,对于开发人员,尽量多做测试,但是测试不能证明代码没有漏洞。对此,他提到形式化验证。

什么是形式化验证呢?郭文生解释到,形式化验证的含义是根据某个或某些形式规范或属性,使用数学的方法证明其正确性或非正确性。比较难理解,郭文生举了一个简单的例子,比如,对S=A-B+C-D的等式进行验证。这个等式需要满足以下几个条件,就能证明代码不存在漏洞。

参数限制:0=< A <255, 0=< B <255, 0=< C <255, 0=< D <255

验证属性:S1=A-B /\ A>B

S2=S1+C /\ S2>S1

S=S2-D /\ S2>D

现场声音

不少前来沙龙听讲的技术人员纷纷对区块链大本营表示,此次沙龙与此前参加过的沙龙活动很不一样,收获颇丰。

其中,北京知物科技有限公司创始人兼CTO郭金宏很有感触,他是一位DApp开发者,他以“收获不错,干货非常多”来评价此次沙龙,通过此次沙龙,他知道了在智能合约开发时要特别注意哪些方面。他认为,此次沙龙达到了他的期望。

而来自一家金融公司的刘松,则希望CSDN区块链大本营以后能够举办技术更深入、对开发者提高最快的技术沙龙分享。

此外,本次沙龙迎来了最小的听众。而作为这位最小听众的爸爸,发表了对这次沙龙的感悟,他希望智能合约能做到越来越安全,区块链能够越来越朝好的方向发展。

虽然沙龙已经结束了,但现场不少人紧紧地围绕在各个讲师身边,他们纷纷表示受益匪浅,希望CSDN区块链大本营能够多举办这样的技术沙龙,以便不错过区块链这样一个技术风口。

最新热文:

  • “冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 漏洞解析连载之
  • 合约安全漏洞连载之一:溢出漏洞
  • 智能合约没你想得那么智能!5分钟带你重新认识“智能”合约
  • 这45个场景,正在被区块链抽筋扒皮…

本文分享自微信公众号 - 区块链大本营(blockchain_camp)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 智能合约初探:概念与演变

    自2009年比特币开启区块链时代以来,近10年里,随着技术与生态的发展,基于区块链的分布式应用(dapp)呈现出井喷的趋势,而支撑着dapp的底层技术就是“区块...

    区块链大本营
  • 你所不了解的以太坊交易:深度解析“全球计算机”

    题图不是艺术效果,而是以太坊在 2019 年 1 月 1 日的所有智能合约交易的数据可视化图像。

    区块链大本营
  • Facebook借稳定币取代美元?比特大陆8000万美元的矿机已就位;深圳千余家企业接入区块链发票 | 一分钟链圈

    据CCN消息,Vitalik Buterin表示,考虑到以太坊引导协议通过的问题,目前的以太坊治理模型工作得相当好。但他认为以太坊的治理在这一点上被低估了。此外...

    区块链大本营
  • 腾讯云区块链TBaaS参与Hong Kong Blockchain Week发表演讲

    快讯:Hyperledger:Blockchain as a Service 论坛中国香港站,腾讯云区块链TBaaS技术负责人李亮主要阐述了BaaS对于客户业务...

    腾讯云区块链
  • 送书!1991-2018,区块链的那点事,都在这里了!

    中关村数字媒体产业联盟主席、人民网原总裁何加正主席在《区块链+赋能数字经济》一书中说到:“区块链应该是 2018 年的一个热点,有人称是新风口,对于当前火热的区...

    华章科技
  • 机器人焊接单元的成本分析

    在准备购买焊接机器人时,你首要考虑的问题肯定是:成本。答案取决于你需要焊接的具体是什么部件,这里可以提供一些分析思路。 焊接机器人本体 实际上,很难一下子就...

    机器人网
  • 焊接机器人技术概述

    根据用焊机机械地完成作业阶段的比例,焊接的机械化可分为四个层次。 •在手工焊接的情况下,焊工手动地移动焊头并监控焊接过程。 •在半自动焊接的情况下,焊机完成了作...

    机器人网
  • spring自己对AOP的运用 -- spring事物(transaction)原理

    可以使用xml或者注解的方式在项目中使用aop,以注解为例,一般使用可以引用 AspectJ,自己创建一个类,在类上标注好注解 @Aspect

    爬蜥
  • 全球机器人外骨骼TOP10:中国创客研发产品入选

    据国外媒体报道,外骨骼的本来含意是指动物的外部骨骼,用于支撑或保护内骨骼。经过不懈研究,科学家已研制出很多性能卓越的外骨骼,帮助有需要的人更有效地打理他们的日常...

    机器人网
  • 74集《面向机器人学习的神经网络》教程视频!深度学习开山鼻祖Hinton带你系统学习!

    但他创立的门派——深度学习,却无人不知,点开本文的高傲的你,也许就是、或者即将成为,他的徒孙。

    养码场

扫码关注云+社区

领取腾讯云代金券