如果你對區塊鏈技術感興趣的話,可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如,2016年臭名昭著的DAO攻擊事件,攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊,發生于2022年4月17日,造成1.82億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞,但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中,我們會解釋程序分析是什么,以及它如何幫助在部署前捕獲安全漏洞。
程序分析簡介
印度央行希望推廣CBDC:金色財經報道,印度儲備銀行副行長 T. Rabi Sankar 建議,全球數字貨幣的使用應“限制”為法定貨幣,并支持中央銀行數字貨幣 ( CBDC )。周四,在最新的G20 Techsprint 黑客馬拉松啟動儀式上,他還提出了遠離主要儲備貨幣的多元化想法 。[2023/5/5 14:44:51]
程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式,動態和靜態。動態程序分析的目標是通過執行程序來檢測問題,而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而,在這些技術之中,只有靜態分析能夠確保程序中不存在漏洞。相反,不同于靜態分析,動態分析能證明問題的存在,它并不能夠證明漏洞并不存在。
數據:持有價值超過100萬美元的PEPE地址數量已超50個:5月2日消息,據區塊鏈分析公司Arkham Intelligence披露最新數據顯示,當前持有價值超過100萬美元的PEPE地址數量已超50個。
Arkham Intelligence表示,最早的一個PEPE買家是一個所謂“部署者錢包(deployer wallet)”,該錢包僅花費了2美元購買了1950億枚PEPE,之后以22.94 ETH(42200美元)的價格出售了這些代幣。
另據CoinGecko數據顯示,自推出以來PEPE價格已上漲1000%以上,已躋身市值前100的加密資產,目前排名第94位。[2023/5/2 14:38:35]
乍一看,靜態分析聽起來似乎很神秘:表面看來,靜態分析似乎違反了一個被總結為萊斯定理「Rice'stheorem」的基本原則,該定理聲稱程序的每一個非平凡性質都是不可判定的。在此,語義屬性是關于程序行為的屬性,而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是,安全漏洞的存在是非平凡性質的一個典型例子。因此,關于「這個程序是否存在安全漏洞」這一問題,萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。?
Circle全球政策副總裁與其他數十位加密成員加入CFTC成立的技術委員會:金色財經報道,美國商品期貨交易委員會 (CFTC)本周宣布成立一個新的技術委員會,以對政府進行加密和人工智能等新興技術的教育。Circle 全球政策副總裁 Corey Then 與其他十位以加密貨幣為中心的成員一起也將成為技術咨詢委員會 (TAC) 的成員。
Corey Then將通過提倡直接將資金存入美聯儲來消除“銀行交易對手風險”,從而為穩定幣發行人尋求更具包容性的監管政策。
據悉,該委員會計劃于 2023 年 3 月 22 日舉行自 2020 年 12 月以來的第一次會議。[2023/3/16 13:08:48]
那么,靜態分析的可行性源自哪里呢?答案藏于以下的觀察:沒錯,沒有一個算法能夠準確地給出是或否,但可以有一個算法在程序有安全漏洞時總是會回答「是」,在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說,只要我們愿意容忍一些誤報,我們就可以繞過賴斯定理和不可判定性。
Cosmos生態智能合約公鏈Juno Network 宣布上線Juno 8.0.0版本:據官方消息,Cosmos生態智能合約公鏈Juno Network在推特上表示,Juno 8.0.0版本現已上線。支持ICA(鏈間帳戶)的升級在經歷一些小問題后成功完成。[2022/7/8 2:00:23]
靜態分析原理
讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說,不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合,如下圖所示:
此處,藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集,紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性,永遠沒有一個算法能夠準確表明藍色區域到底是什么,但是我們能設計一個算法以系統性的方式過近似這個藍色區域,如上面常規綠色區域所示。只要綠色和紅色的交集為空,我們就有證據證明程序沒有做壞事。然而,如果我們的過近似不夠不準確,可能會使得紅色區域重疊,即使藍色和紅色區域的交集依舊為空,如下圖所示:
這種情況會導致所謂的「誤報」,由于分析與真實問題不相應而報告的虛假錯誤。一般而言,靜態分析的圣杯是構造過近似,即過近似足夠準確因此我們在實際中不會獲得很誤報過近似的計算足夠有效率,因此分析可擴展到我們所關心的現實世界的程序。
附帶說明一下,還可以設計靜態分析算法來近似如下所示的程序行為:
在此情況下,綠色區域包含在藍色區域內,和另一種方式正好相反。這種分析是不可靠的,意味著可能會漏掉真正的程序錯誤:正如我們在上圖所看到的那樣,綠色和紅色的交集為空,因此即使程序真的存在漏洞,分析也不會報告問題。這會導致所謂的假陰性,真正的漏洞被靜態分析給遺漏了。
大體來說,如果我們想獲得可證明的安全性,我們會想要可靠的從來不會有誤報的靜態分析器,同時還需要足夠精確,在實踐時不會報告太多誤報。然而,好消息是,幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文,我們會更詳細地介紹靜態分析器具體是如何運作的!
總結
程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術,包括區塊鏈應用程序。此外,可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。
Tags:EPEPEPEJUNOUNOPEPESWAPMexican Pepejuno幣為什么跌這么多KUSUNOKI價格
Tinder是國際最流行的約會APP,國內的抄襲版叫“探探”,如果你還不知道Tinder是怎么用的,我就簡單說一下,你把自己的照片和資料寫好后系統會把附近的姑娘一個一個推送給你.
1900/1/1 0:00:00為什么選擇美元? 去中心化穩定幣很難。但盡管過去幾周發生了一些事件,我們仍然相信它們的潛力。在見證了Terra的戲劇性上升之后,我們提出了USDD的想法.
1900/1/1 0:00:00市場觀點 宏觀流動性 貨幣流動性整體緊縮。本周美國零售業的疲弱業績引發美股對于經濟衰退的擔憂。美聯儲對待通脹的態度還是相當強勢,美元指數依然在103新高附近,市場不具備大范圍上漲的條件.
1900/1/1 0:00:00近日,中共中央辦公廳、國務院辦公廳印發了《關于推進實施國家文化數字化戰略的意見》,明確要求加快文化數字化建設標準研究制定,健全文化資源數據分享動力機制,研究制定扶持文化數字化建設的產業政策.
1900/1/1 0:00:00RogerVer是比特幣的早期投資者和熱心推動者,獲得了“比特幣耶穌”的稱號。一年后,他在推特上重新露面,并在一次采訪中表示支持狗狗幣(DOGE),比起比特幣,他更傾向于將狗狗幣作為支付手段.
1900/1/1 0:00:00去中心化金融(DeFi)?是指區塊鏈應用程序,可將中間商從貸款、儲蓄和掉期等金融產品和服務中剔除。雖然DeFi帶來了高回報,但它也帶來了很多風險.
1900/1/1 0:00:00