區塊鏈安全100問 | 第八篇：智能合約自動化審計介紹_區塊鏈

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

PART01-智能合約自動化審計介紹

隨著區塊鏈技術越來越火，并在不同的行業有所應用，如金融、游戲、版權、溯源等；其中出現過不少的安全問題，尤其是區塊鏈的智能合約發展至今，暴露出的問題不少，智能合約的正確性和安全性面臨著巨大的問題；在海量的智能合約中，最好的一種設想就是通過自動化審計來降低人工審計的復雜度。同時市場上有安全公司，也推出各自的智能合約自動化安全審計平臺，那么今天我們就來介紹一下智能合約自動化審計。

區塊鏈存儲協議Arweave 2.6發布，硬分叉擬于3月6日激活:2月11日消息，據區塊鏈存儲協議Arweave創始人Sam Williams在社交媒體宣布，Arweave 2.6現已發布，新版本將提升提升網絡及其存儲市場的能源效率，并且激勵礦工存儲更多數據。

網絡硬分叉大約在3月6日激活，隨著網絡難度的重新調整，未捆綁的Arweave交易屆時可能會在處理過程中出現暫停，預計將持續幾個小時，而捆綁服務的用戶或將不會受到影響。

Sam Williams還透露，硬分叉完成后的幾周或幾個月內還將發布一個或多個調整版本，但相關升級不會對用戶造成太大干擾。[2023/2/11 12:00:47]

我們把自動化審計分為三個部分：

第一種就是特征代碼的匹配；第二類就是基于形態化驗證的自動化審計；最后一類是基于符號執行和符號抽象的自動化審計。

國務院：綜合運用區塊鏈等技術，先行推進高頻行政處罰事項協助:金色財經報道，《中華人民共和國行政處罰法》已經十三屆全國人大常委會第二十五次會議修訂通過，國務院發布關于進一步貫徹實施 《中華人民共和國行政處罰法》的通知，其中指出要綜合運用大數據、物聯網、云計算、區塊鏈、人工智能等技術，先行推進高頻行政處罰事項協助，實現違法線索互聯、監管標準互通、處理結果互認。[2021/12/13 7:36:04]

1）特征代碼匹配

首先特定代碼匹配。大家從名字上來看應該就能理解到，其實就是對惡意代碼進行一些提取抽象，像我們之前做的代碼靜態檢測，我們抽樣成一種語義匹配，然后再去匹配它的靜態源代碼。

這種審計的方法的優點是顯而易見的，比如說速度很快，因為它就是對源碼進行一個字符串的匹配。第二是它能夠迅速地響應新的漏洞，因為這種審計方法大部分是以插件形式開發，比如出現了一個新的漏洞，我們就可以快速提交一些新的匹配模式。

媒體：已有多家上市公司購買了浙商銀行區塊鏈應收款產品:4月29日，雷迪克（300652.SZ）公告透露，該公司已用近2.37億元購買浙商銀行發行的6款區塊鏈應收款理財產品。據統計，從去年年初開始，已經陸續有海默科技、瑞普生物、華源控股、普洛藥業等上市公司公告購買了浙商銀行的區塊鏈應收款產品。分析指出，浙商銀行的區塊鏈應收款產品，開啟了基于區塊鏈的數字資產交易的新模式。不同于過去“加密貨幣”先發幣交易，再找資產的程序，很容易造成“空氣幣”，浙商銀行的模式先錨定資產，再交易，服務實體經濟的同時保護交易對手方。（互聯脈搏）[2020/5/8]

那么它的缺點在哪里呢？我們所理解的現在的區塊鏈都應該是公開透明的，但實際情況并不是這樣，我們大概做了一個統計，目前在以太坊上其實有超過一半的智能合約是不開源的，只暴露一個OPCODE。

聲音 | 人大教授：食品供應鏈管理中融合區塊鏈技術來優化管理:據和訊消息，中國人民大學食品安全治理協同創新中心研究員孫娟娟近日發文“區塊鏈技術優化食品供應鏈管理和信息可追溯”，文中提到，即便食品安全追溯成為區塊鏈的熱點應用場景，食品生產、流通、銷售等操作仍是線下周期。在未引入區塊鏈技術之前，也有二維碼等信息技術用以食品的身份驗證、源頭追溯。面對線下的物流和線上的信息流，但凡依托于人工的信息錄入，依舊無法打消區塊鏈技術能否真實同步線下線上信息的質疑。鑒于區塊鏈技術的去中心化、自治性、開放性等特點及其在促進信息共享中的作用，更為明智的探索是如何在供應鏈管理中融合區塊鏈技術來優化管理，包括食品安全全程追溯。[2019/1/22]

OPCODE的分析對于安全人員來說也面臨著巨大的挑戰，有些人費了十分大的力氣，去逆向OPCODE，這就導致了它的適用范圍極為有限。

其次就是漏報率高。因為它的一些靜態審計方法其實并不和傳統的靜態代碼審計方法一致，傳統的靜態審計方法，比如說APP檢測，會調用庫里面，確定穩定的一些函數，來對它進行審計，但智能合約里面它的一些函數、它一些特征等等，還是變化性比較多的，所以說它的漏報率會比較高。

2）基于形式化驗證的自動化審計

使用形式化驗證來審計智能合約安全，將EVM編譯后的一些OPCODE，通過特定描述語言轉化成了一個形式化的model，然后通過形式化model的驗證來去判斷它代碼中的邏輯是否存在問題。

3）基于符號執行、符號抽象的自動化審計

基于符號執行、符號抽象的自動化審計檢測出來的數據還是需要人工進行二次確認，這個工作其實是非常繁瑣。

PART02-一個出色的智能合約自動化審計系統該滿足什么條件？

1）自動化

要求對智能合約的安全審計，要全自動，或者至少是半自動的，即上傳合約源代碼或提供智能合約的token地址，即可由系統，自動化進行合約的安全掃描。并且能夠按需要配置為周期調度自動進行調度審計。

2）準確性

要求對智能合約的安全審計，誤報率低。

3）高效率

要求對智能合約的安全審計必須是高效的，即要求審計的時間不能太長，越快越好。

4）無風險

要求對智能合約的安全審計不會破壞或修改原有的合約的功能。

只有做到了以上4點，才是一個基本合格的智能合約自動化審計系統。

除此之外，如果要做得更加的專業，更出色，還需要滿足下面的四個需求：

第一、系統具有智能合約的當前標準規范管理；這樣一來，使用者可以在系統上傳，下載標準規范進行參考。如果說審計出來的安全問題，能與標準規范相對應，并定位到標準規范是最好的，但是當對智能合約安全審計的標準規范不細或缺乏，做到這一點太難了。

第二、系統的使用操作體驗要好；簡單舉例：

可以采用向導式，引導用戶熟悉系統的功能操作。

具備用戶自定義合約的行業分類以及所屬廠商分類等。

審計出來的安全問題，能定位到行列，并至少能提供此安全問題的修正安全，當然，有自動化修正更好，具備自動化修正功能，相應提供保留原內容的版本，以便可進行回退和比較。

第三、易擴展；當前，區塊鏈的平臺技術以及安全專家針對區塊鏈智能合約發現的安全問題的checklist是不斷演進的，系統應很好的解決這方面的需求，就需要系統有一個很好的易擴展的設計要求。

第四、對安全審計結果報告展現豐富；能導出PDF，EXCEL，WORD，HTML格式是必需的，報告的展現應有圖表，表格元素的體現，當然，要做好這點，需要你對系統的使用方有更多的了解，針對用戶做些定制他們關注的報告就更出彩了；報告出彩的功能還可以是報告中有審計歷史對比趨勢分析等。

Tags：區塊鏈ODECODAVE區塊鏈技術的應用Jurassic NodesCODY幣BabyAvengers

XRP