关于区块链安全,这四位大咖分享了这么些干货...
7月28日(周六)下午,由CSDN主办,区块链大本营、柏链道捷、极客帮创投协办的“区块链安全”专场沙龙,在北京朝阳区酒仙桥恒通商务园举行。别看今天是周末,全场没有一点辛苦一周后想要休息的迹象,有的听众还专程从华东、华南地区赶来,实足热情高涨!
本期沙龙围绕“区块链安全”问题,以“如何应对区块链安全问题”为主题,邀请4位实力派区块链安全专家,分享了智能合约及公链安全、黑客攻击、漏洞、形式化验证等内容,非常精彩。
作为第一位分享嘉宾,PeckShield研发副总吴家志连夜从外地赶到现场,但他在演讲中丝毫没有漏出疲态,反而越讲越兴奋。在此次演讲中,他以智能合约安全和公链安全两方面作为分享内容。
其中智能合约安全方面,他从最近非常火的Fomo3D游戏开始讲起,这个游戏的中奖机制是在某个时间段交易了0.1ETH,就中奖了。然而通过下图Fomo3D的智能合约可以知道,其中标蓝的几个参数是固定的,只有一个参数是随机的,所以通过计算机来模拟是可以猜出来。这是Fomo3D的智能合约设计不严谨的地方。
.
此外,吴家志还比较几个典型智能合约漏洞,比如:allowAnyone (CVE-2018-11397, CVE-2018-11398)漏洞。攻击者可以选择一个随机Token账户作为_from并将其账户内的Token转移至其他任意地址。
对于公链安全,他提到公链以太坊上运用比较多的客户端有Geth、Parith等,而对Geth的攻击也是非常的多,其中攻击Geth的方式有智能合约、协议栈等方式进行攻击。
来自360的资深安全工程师李佳峰,以360前段时间发现的EOS史诗级漏洞讲起,介绍了区块链的基本概念,以及几种常见的攻击方式。
首先,在安全方面,他认为开发者不应该只关注智能合约,他提到典型区块链技术架构中的工作量证明、权益证明、数字签名等都可能存在安全问题。
此外,在提到区块链开源软件高危漏洞分布情况时,他认为输入的地方是最可能遭到攻击的地方。
而数字交易安全一直是大家比较关心的安全问题,李佳峰讲到交易所中常见的漏洞主要有以下几种:
越权漏洞
验证码漏洞
条件竞争漏洞
认证漏洞
他认为这类漏洞涉及的业务逻辑非常严谨,必须要对每段业务逻辑代码进行大量的模糊测试与代码审计,对可能出现问题逻辑对应的代码人工审计。
对于智能合约的理解,北京知道创宇安全服务部技术专家于超有着不同的理解,他是从安全工程师的角度理解什么是智能合约?智能合约有什么特别之处?会发生什么问题?
对于智能合约,他的理解是:
1.基于区块链技术,一旦部署便不能修改
2.合约账户,仅由合约代码控制,不受人的干扰
而关于智能合约的特别之处,他分享了以下几点:
1.执行代码需要花费gas:
代码越复杂,执行所需的gas越多;
如果调用者提供的gas不足,则已执行代码回滚
调用者可以设置gasPrice,矿工优先处理gasPrice高的交易
区块有gasLimit
2.可以发生/接受ETH
3.函数调用方式
call:正常的调用
delegatecall:神奇的调用,于超解释到这种调用类似于其他语言的import
最后,他通过代码分析,详细解释了提到智能合约可能产生ERC20代币假充值漏洞、重入的问题。
以上都是讲智能合约漏洞方面的,成都链安科技CTO郭文生分享更多的是针对这些漏洞,怎样从审计方面避免安全问题的发生。
他首先介绍了整型溢出、Owner 权限被盗两种类型漏洞。此外,怎样避免安全问题?郭文生出建议,尽量找安全库、做测试、找安全公司审计。他提到,对于开发人员,尽量多做测试,但是测试不能证明代码没有漏洞。对此,他提到形式化验证。
什么是形式化验证呢?郭文生解释到,形式化验证的含义是根据某个或某些形式规范或属性,使用数学的方法证明其正确性或非正确性。比较难理解,郭文生举了一个简单的例子,比如,对S=A-B+C-D的等式进行验证。这个等式需要满足以下几个条件,就能证明代码不存在漏洞。
参数限制:0=< A <255, 0=< B <255, 0=< C <255, 0=< D <255
验证属性:S1=A-B /\ A>B
S2=S1+C /\ S2>S1
S=S2-D /\ S2>D
现场声音
不少前来沙龙听讲的技术人员纷纷对区块链大本营表示,此次沙龙与此前参加过的沙龙活动很不一样,收获颇丰。
其中,北京知物科技有限公司创始人兼CTO郭金宏很有感触,他是一位DApp开发者,他以“收获不错,干货非常多”来评价此次沙龙,通过此次沙龙,他知道了在智能合约开发时要特别注意哪些方面。他认为,此次沙龙达到了他的期望。
而来自一家金融公司的刘松,则希望CSDN区块链大本营以后能够举办技术更深入、对开发者提高最快的技术沙龙分享。
此外,本次沙龙迎来了最小的听众。而作为这位最小听众的爸爸,发表了对这次沙龙的感悟,他希望智能合约能做到越来越安全,区块链能够越来越朝好的方向发展。
虽然沙龙已经结束了,但现场不少人紧紧地围绕在各个讲师身边,他们纷纷表示受益匪浅,希望CSDN区块链大本营能够多举办这样的技术沙龙,以便不错过区块链这样一个技术风口。
最新热文:
“冰封”合约背后的老牌劲敌——拒绝服务漏洞 | 漏洞解析连载之二
合约安全漏洞连载之一:溢出漏洞
智能合约没你想得那么智能!5分钟带你重新认识“智能”合约
这45个场景,正在被区块链抽筋扒皮…
扫码加入区块链大本营读者群,群满加微信 qk15732632926 入群
了解更多区块链技术及应用内容
敬请关注:
