关于区块链安全,这四位大咖分享了这么些干货...

7月28日(周六)下午,由CSDN主办,区块链大本营、柏链道捷、极客帮创投协办的“区块链安全”专场沙龙,在北京朝阳区酒仙桥恒通商务园举行。别看今天是周末,全场没有一点辛苦一周后想要休息的迹象,有的听众还专程从华东、华南地区赶来,实足热情高涨!

本期沙龙围绕“区块链安全”问题,以“如何应对区块链安全问题”为主题,邀请4位实力派区块链安全专家,分享了智能合约及公链安全、黑客攻击、漏洞、形式化验证等内容,非常精彩。

作为第一位分享嘉宾,PeckShield研发副总吴家志连夜从外地赶到现场,但他在演讲中丝毫没有漏出疲态,反而越讲越兴奋。在此次演讲中,他以智能合约安全和公链安全两方面作为分享内容。

其中智能合约安全方面,他从最近非常火的Fomo3D游戏开始讲起,这个游戏的中奖机制是在某个时间段交易了0.1ETH,就中奖了。然而通过下图Fomo3D的智能合约可以知道,其中标蓝的几个参数是固定的,只有一个参数是随机的,所以通过计算机来模拟是可以猜出来。这是Fomo3D的智能合约设计不严谨的地方。

.

此外,吴家志还比较几个典型智能合约漏洞,比如:allowAnyone (CVE-2018-11397, CVE-2018-11398)漏洞。攻击者可以选择一个随机Token账户作为_from并将其账户内的Token转移至其他任意地址。

对于公链安全,他提到公链以太坊上运用比较多的客户端有Geth、Parith等,而对Geth的攻击也是非常的多,其中攻击Geth的方式有智能合约、协议栈等方式进行攻击。

来自360的资深安全工程师李佳峰,以360前段时间发现的EOS史诗级漏洞讲起,介绍了区块链的基本概念,以及几种常见的攻击方式。

首先,在安全方面,他认为开发者不应该只关注智能合约,他提到典型区块链技术架构中的工作量证明、权益证明、数字签名等都可能存在安全问题。

此外,在提到区块链开源软件高危漏洞分布情况时,他认为输入的地方是最可能遭到攻击的地方。

而数字交易安全一直是大家比较关心的安全问题,李佳峰讲到交易所中常见的漏洞主要有以下几种:

  • 越权漏洞
  • 验证码漏洞
  • 条件竞争漏洞
  • 认证漏洞

他认为这类漏洞涉及的业务逻辑非常严谨,必须要对每段业务逻辑代码进行大量的模糊测试与代码审计,对可能出现问题逻辑对应的代码人工审计。

对于智能合约的理解,北京知道创宇安全服务部技术专家于超有着不同的理解,他是从安全工程师的角度理解什么是智能合约?智能合约有什么特别之处?会发生什么问题?

对于智能合约,他的理解是:

1.基于区块链技术,一旦部署便不能修改

2.合约账户,仅由合约代码控制,不受人的干扰

而关于智能合约的特别之处,他分享了以下几点:

1.执行代码需要花费gas:

代码越复杂,执行所需的gas越多;

如果调用者提供的gas不足,则已执行代码回滚

调用者可以设置gasPrice,矿工优先处理gasPrice高的交易

区块有gasLimit

2.可以发生/接受ETH

3.函数调用方式

call:正常的调用

delegatecall:神奇的调用,于超解释到这种调用类似于其他语言的import

最后,他通过代码分析,详细解释了提到智能合约可能产生ERC20代币假充值漏洞、重入的问题。

以上都是讲智能合约漏洞方面的,成都链安科技CTO郭文生分享更多的是针对这些漏洞,怎样从审计方面避免安全问题的发生。

他首先介绍了整型溢出、Owner 权限被盗两种类型漏洞。此外,怎样避免安全问题?郭文生出建议,尽量找安全库、做测试、找安全公司审计。他提到,对于开发人员,尽量多做测试,但是测试不能证明代码没有漏洞。对此,他提到形式化验证。

什么是形式化验证呢?郭文生解释到,形式化验证的含义是根据某个或某些形式规范或属性,使用数学的方法证明其正确性或非正确性。比较难理解,郭文生举了一个简单的例子,比如,对S=A-B+C-D的等式进行验证。这个等式需要满足以下几个条件,就能证明代码不存在漏洞。

参数限制:0=< A <255, 0=< B <255, 0=< C <255, 0=< D <255

验证属性:S1=A-B /\ A>B

S2=S1+C /\ S2>S1

S=S2-D /\ S2>D

现场声音

不少前来沙龙听讲的技术人员纷纷对区块链大本营表示,此次沙龙与此前参加过的沙龙活动很不一样,收获颇丰。

其中,北京知物科技有限公司创始人兼CTO郭金宏很有感触,他是一位DApp开发者,他以“收获不错,干货非常多”来评价此次沙龙,通过此次沙龙,他知道了在智能合约开发时要特别注意哪些方面。他认为,此次沙龙达到了他的期望。

而来自一家金融公司的刘松,则希望CSDN区块链大本营以后能够举办技术更深入、对开发者提高最快的技术沙龙分享。

此外,本次沙龙迎来了最小的听众。而作为这位最小听众的爸爸,发表了对这次沙龙的感悟,他希望智能合约能做到越来越安全,区块链能够越来越朝好的方向发展。

虽然沙龙已经结束了,但现场不少人紧紧地围绕在各个讲师身边,他们纷纷表示受益匪浅,希望CSDN区块链大本营能够多举办这样的技术沙龙,以便不错过区块链这样一个技术风口。

最新热文:

  • “冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 漏洞解析连载之
  • 合约安全漏洞连载之一:溢出漏洞
  • 智能合约没你想得那么智能!5分钟带你重新认识“智能”合约
  • 这45个场景,正在被区块链抽筋扒皮…

原文发布于微信公众号 - 区块链大本营(blockchain_camp)

原文发表时间:2018-07-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链大本营

未来互联网再不需要中心化服务器了!因为Web3技术栈来了

目前还没有关于Web3技术栈的详细分析,所以我想尝试对Web3技术栈进行细致的解读。下图是Web3技术栈示意图,这幅图肯定不是完整的,而且可能会存在一些不准确的...

1613
来自专栏互联网数据官iCDO

如今火爆的区块链技术到底是什么鬼?

作者:Sarah 本文长度为1746字,预估阅读时间8分钟。 导读:本文作者从分布式数据库、耐用性和稳健性、透明性和不易攻击性三个方面向我们介绍区块链技术。 区...

3609
来自专栏区块链大本营

区块链智能资产的“硬链接”思考

3578
来自专栏区块链开发

区块链技术开发公司谈区块链技术存在的技术优势

  区块链技术起源于2008年,狭义的区块链技术是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构,并以密码学方式保证的不可篡改和不可伪造的去中心化共享...

40010
来自专栏区块链大本营

区块链智能资产的“硬链接”思考

38113
来自专栏区块链源码分析

当区块链遇到零知识证明

零知识证明的官方定义是能够在不向验证者任何有用的信息的情况下,使验证者相信某个论断是正确的。这个定义有点抽象,下面笔者举几个例子,来帮助读者理解这个概念。

75933
来自专栏区块链大本营

2017年,每个企业都会用上的区块链技术

3539
来自专栏企鹅号快讯

区块链技术,如何提升网络安全?

眼下,区块链已经成为科技界的热门技术,甚至被称为颠覆性技术。那么,在网络安全领域,区块链能否发挥作用呢?答案是肯定的。 ——编者 当著名咨询公司Gartner在...

2509
来自专栏区块链大本营

关于区块链,作为程序员的你,好歹应该知道三大技术要点吧!

3317
来自专栏技术记录

话说区块链,它真的不是比特币

好像是去年吧,2017年,随着比特币的大火,各种数字货币出现了,显卡价格飙升了,区块链技术传的神乎其神了。看到网上凡是和区块链沾边的股价,都跟吃了火药一样往上冲...

37612

扫码关注云+社区

领取腾讯云代金券