以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > USDC > Info

IOSG Ventures:智能合約安全分析工具商業化的機會來了么?_NFT:SHI

Author:

Time:1900/1/1 0:00:00

原文標題:《IOSGWeeklyBrief|智能合約安全分析工具商業化的機會來了么?#147》

原文作者:Ray、Sally

原文來源:IOSGVentures

在9月底Paradigm官宣完成了區塊鏈安全項目Blowfish的領投又一次引起了大家對智能合約安全分析領域的廣泛關注。但其實Paradigm團隊在此之前就已經在智能合約安全測試方向做了很多實踐,在今年3月ParadigmCTOGeorgios公布了他們開發的Foundry智能合約測試套件,如今區塊鏈安全分析也再朝著更細致的分工方向發展。

DeFi協議的攻擊已超過12次,被盜金額超7億美元。

PS:智能合約的審計覆蓋面會從合約部署前到部署后

智能合約部署前的安全分析:測試審計

1.1測試

合約測試是開發者和審計者需要花費最多精力的工作,這與傳統開發者不同。因為區塊鏈不可篡改的特性,一旦智能合約部署到EVM虛擬機上就難以變更,因此安全分析、彌補安全漏洞的工作大部分花費在“事前分析”——對智能合約部署前的安全測試。

在接受正式審計前,合約開發者/審計者需要對合約的代碼進行一些基礎性的測試,初期測試的覆蓋率越高越能避免一些簡單的bug進入正式審計階段。

常見的基礎性的測試有單元測試和集成測試。這個階段常用的工具有Hardhat、Truffletestframework等,常見的測試內容包括:狀態檢查、事件觸發、交易重置、函數計算、完全功能測試。

SushiSwap宣布推出去中心化孵化器Sushi Studios:金色財經報道,SushiSwap宣布推出去中心化孵化器Sushi Studios,推出后外部產品團隊能夠利用 Sushi 品牌并開發協議,而無需 Sushi DAO 國庫資金。Sushi Studios 將幫助創建一個包容性的產品生態系統,為所有 Sushi 利益相關者帶來價值。它還將授權獨立的代幣經濟體,允許引導流動性、籌款和新產品發布的分發。通過授權 Sushi 品牌 IP,Sushi Studios 將允許開發者使用 Sushi,以提供能夠為 Sushi 品牌、生態系統和利益相關者帶來價值的免費產品。[2023/2/15 12:08:52]

「測試可以有效的發現程序存在的缺陷,但是它卻無法證明程序不存在缺陷。」——EdsgerWybeDijkstra

根據Ethereum官方文檔的定義,審計是對智能合約每一行源代碼的細節評估,攻擊者的思維方式來繪制智能合約中可能的攻擊向量,以發現可能的故障點、安全漏洞和不良的開發實踐。審計階段大致包含:靜態分析、動態分析、人工分析、形式化驗證。正如上圖所說的Dijkstra,單靠測試無法完全相信程序沒有故障,審計、形式化驗證更多的是想更加靠近程序不存在缺陷這一目標。

金錢成本

根據智能合約安全公司Hacken的數據,智能合約審計服務的行業的平均成本在5000美元到30000美元之間。對于大型項目,成本有時可以達到50萬美元甚至更高。智能合約審計的成本直接取決于代碼復雜性和商定的工作范圍。影響價格的其他因素包括緊急程度、智能合約的大小、完成流程所需的工程小時數、與項目相關的文檔的可用性等因素。

IOST與KokomoSwap達成戰略合作:據官方消息,IOST宣布與基于BSC的AMM DEX KokomoSwap建立戰略合作伙伴關系,將打通IOST與BSC跨鏈。

KokomoSwap團隊正著手開發IOST和BSC之間的跨鏈橋,支持IOST與BSC的鏈上資產實現相互傳輸,進而大大增強IOST公鏈的互操作性。雙方的合作也將把IOST與BSC兩個生態系統中總計約250萬的主網用戶連接起來,使得兩條公鏈都進一步擴大影響。

KokomoSwap是一個基于BSC的AMM DEX,Kokomoswap現被注冊為IOST公鏈的一個服務節點,支持存儲IOST公鏈完整的交易記錄,同時生成區塊并驗證交易。[2021/8/31 22:49:31]

時間成本

初始審計平均需要2到14天,這也具體取決于項目的復雜性、智能合約規模和緊迫性。對于大型項目或協議,初始審核可能需要長達1個月的時間。初始審核完成后,客戶會收到有關要引入哪些修改的建議。

人力成本

根據IOSG在區塊鏈形式化驗證領域的領投項目RuntimeVerification的反饋,審計的人力成本取決于協議的復雜性。對于大部分擁有資深行業經驗和學術經驗的頭部安全審計公司來說,理解crypto客戶項目的商業邏輯和tokeneconomics基本沒有太大難度,一般兩個專業的工程師大概花費1~2個星期就可以完成初始步驟。

但是接下來的部分會取決于客戶的具體需求。有的客戶只需要對被審計項目的基本業務邏輯進行人工審計,這是最便宜的服務。有的客戶希望對業務邏輯和tokeneconomics進行建模然后手工進行數學證明以確保某些重要結果成立,例如安全性、活性、一致性等。有些大客戶像MakerDAO、以太坊基金會等則希望更進一步,對代碼進行形式化驗證(FormalVerification)。

IOST日本NFT市場TokenLink上線首個音頻NFT:據官方消息,IOST日本NFT市場TokenLink上線首個音頻NFT。該音頻NFT由日本知名音樂人KAYY發行,名為“Burning castle”。

2020年4月推出IRC-722 NFT標準之后,IOST與日本區塊鏈開發咨詢公司Platinum Egg達成合作并共建了NFT市場TokenLink。

KAYY是fu-ca樂隊的吉他手和作曲家。他在環球音樂(日本)-Delicious Deli Records上首次亮相。自2010年以來,KAYY一直活躍于作曲和錄音制作領域。[2021/4/30 21:13:54]

這里關于形式化驗證再多說一句,形式化驗證是用數學方法去驗證程序的正確性——程序的實現與程序員的意圖相符,最終證明項目的系統是BugFree的。或者換句話說,形式化驗證像是一種更全面的「testing」,它理論上會包含所有可能的輸入和狀態,這是testing無法做到的

圖片來源:“BadProofsinFormalVerification”byCertorateamatDevconBogata

從實際規模化運用來說,形式化驗證相對傳統的測試方案在規模化運用上相對較慢。大部分的crypto項目來說,完成智能合約審計之后就已經足夠,從成本投入和潛在效益來說對小型項目來說還不是必需品(或者說證明程序是bug-free的代價還比較高),核心原因是形式化驗證需要專業的形式化人才參與,因為對項目代碼創建形式化規范

Coinbase成為美國頂級金融應用程序之一,iOS商店總排名第12:Cryptonews消息,在股票直接上市之日,投資者對大型加密貨幣交易所Coinbase的興趣激增,而現在它已成為美國頂級金融應用程序之一,在所有應用程序中的地位也相對較高。在Google Play的金融應用程序中,它位居第三。

從總類別來看,Coinbase排名仍然很高,在iOS商店中排名第12位,在Google Play中排名第20位。而用戶對Coinbase上市的興趣已反映在Google趨勢數據中,該數據顯示,“ Coinbase”一詞的搜索量在4月14日下午(UTC時間)達到頂峰,最高值100。[2021/4/15 20:23:29]

常見的工具

智能合約審計當下仍然是一個labourintensive的行業,并且對人才的技術要求較高。目前雖然市面上有十幾款比較流行的審計工具。因此,僅僅依賴這些工具去完成審計工作比較困難,可能會錯過許多和業務邏輯相關的漏洞。通常審核智能合約需要使用自動化工具手動代碼審查相結合的方式,并且根據客戶的智能合約業務邏輯、代幣模型的不同需要casebycase的人工審查。

智能合約安全分析和審計往往是在驗證程序的正確性,也就是程序的實現與程序員的意圖相符。因為程序的bug,其實都是由程序的實現與程序員的意圖之間有區別導致的。我們之前在分享我們投資RuntimeVerification一文中提及的形式語義學的其實就是能讓開發者的開發意圖和實現精確相符的語言框架,從而減少bug的出現。

Gate.io發布iOS TestFlight2.4.7版本:據官網公告,Gate.io已發布iOS TestFlight2.4.7版本,APP內完善“動態”功能,可關注他人以及查看粉絲,并新增“廣場”、“熱門”、“關注列表”三項內容分類頁;新增“訂閱”功能,激勵用戶發布原創優質內容,吸引粉絲付費訂閱;直播間新增主播連麥功能,可與主播面對面暢聊,消息即時同步不卡頓;合約USDT結算合約位置調整,啟動進入合約顯示USDT合約等功能。詳情見原文鏈接。[2020/5/19]

在智能合約安全審計領域目前雖然市面上工具也不少,且大多開源,但是拿來真正做到成功商業化的寥寥無幾,這其中根本原因我們后面也會分析,總之目前還是依賴于安全服務提供商自己的自動化工具人工閱讀每一行代碼或建模,基本無法通過直接賣自動化審計工具拿到規模化商業收入。

根據我們最近領投的Hexens反饋,初期對于一些靜態分析的測試Slither和MythX是他們常用的開源工具,雖然結果并不能讓他們非常滿意。對于更高級別的測試,他們主要用fuzzers如Echidna、Forgebuiltinfuzzer

智能合約部署后的安全分析——監測

目前10種最常見的區塊鏈網絡安全攻擊里Scam出現頻率最高,且給用戶直接造成資產損失最高。根據Peckshield的數據,在2021年crypto因為各類scams造成的鏈上經濟損失達120億美金,比黑客直接攻擊造成的損失要高6.7倍。

常見的scam攻擊:

網絡釣魚

案例:Alice登錄某交易所后鏈接MetaMask錢包,收到彈窗提示錢包故障,需要助記詞恢復,恢復后錢包內資產被全部盜走。

冒名/冒充

案例:烏克蘭政府接受加密貨幣捐贈并宣布空投NFT,冒名者偽裝成烏克蘭政府發出假token空投進行詐騙。

Discord管理身份劫持

案例:黑客通過控制藍籌NFT如BoredApeYachtClub等discord官方服務器,批量對成員發送錯誤鏈接,用戶點擊后資產會被不可逆地盜取

BGP劫持

案例:Celer遭受BGP劫持攻擊,波及32名用戶和23.5萬美元的損失

代碼后門&陷阱

案例:Bob在某網站mint了一個NFT,兩天后發現不翼而飛。因為攻擊者在NFT代碼植入了某些特征,可以授權他人進行NFT交易或可以破壞他人的NFT,無法掛單等。

前端惡意代碼?(攻擊者會將惡意代碼植入交易所等網站的前端,如用戶瀏覽器的標簽管理系統,從而通過這串惡意代碼生成錯誤的批準,允許用戶資產被轉移至攻擊者的地址)

案例:KyberSwap因為黑客安插的前端惡意損失256萬美金

圖片來源:GoPlus

常見的工具:

相比于智能合約安全審計,提供monitor&firewall服務涉及的業務內容更為龐雜和細密。

Focus在合約部署前以及合約部署后升級的智能合約代碼安全審計,往往通過各類型的測試輸入一系列的值來看合約的輸出值及狀態是否正常運行。比如針對一個常見的鏈上轉賬邏輯,常見的測試人員會做:transferzeroether,transferalltheether,transferslightlymorethanalltheether,transferthelargestpossibleamountofether,transferanaccount'svaluetoitself等事情來看合約是否可以如能做到程序員預期該做的事情和實現的結果。

Focus在事中安全分析的monitor/firewall服務,要處理的問題更繁雜。并且目前看下來這類項目提供的安全服務更注重廣度,它們相對比合約審計的安全服務更輕量級。涉及許多跟檢查代碼正確性之外的安全風險,比如各類詐騙、釣魚相關的攻擊。而監測這些漏洞除了需要依賴合約解析能力之外,還需要不斷更新可疑地址、可疑合約邏輯、可疑資產清單等數據的風險數據庫。

通過我們和最近行業內從業人員的交流,發現不同的Monitor服務定位其實也各有不同,比如GoPlus更加注重提供數據API服務給項目方甚至是一些注重前端的防火墻;Harpie、Blowfish更注重提供前端服務,當用戶執行一個交易行為、或者完成一次授權之前模擬這個交易以發現問題阻止用戶有安全風險的交易;Tenderly則更注重開發者的需求,為智能合約開發者提供運行監測等服務。當然目前這個領域還比較新,盡管像Opensea這樣的大型交易平臺已經和一些項目進行實質的商業合作,但是我們認為未來商業化的路徑還是不太明晰同時會遇到的同業競爭會不小。

智能合約安全分析工具的商業發展機遇和挑戰

1)目前來看行業內的許多人認為monitoring&firewall跟securityauditing之間的商業邊界還較為模糊,理論上來說由在區塊鏈安全領域深耕多年的專業安全審計公司直接提供monitoringservice,甚至開拓B2C,2C化的終端用戶直接收益的產品更符合商業發展邏輯。但是由于monitoring賽道剛剛起步,收費模式和盈利模型尚不明確,如果市場回暖安全審計市場會仍然處于供>需,訂單做不完的狀態可能無暇顧及這個新興市場,這個時間窗口會是給新出現的專門做monitor/firewall的公司一個很好的機會。

2)智能合約審計的自動化工具目前市面上已經由很多,常見的有十幾種大多開源。這個方向通過賣工具來收費的商業模式尚未跑通,核心原因是:1)黑客和安全防御者的博弈關系是anarmsraceandtheattackisalwaysamovingtarget,魔高一尺道高一丈。安全工具一旦推出,黑客就會嘗試繞過它,開發出新的攻擊形式。所以安全工具只能不斷迭代更新將攻擊門檻提高;2)大部分工具使用門檻不低,會使用專業安全分析工具產品的人少,因此限制了市場規模(雖然RuntimeVerification有在推給普通開發者使用的Firefly,ConsenSysDilligence也有MythX);3)安全分析工具只能覆蓋主流的漏洞,而跟據協議業務邏輯的經濟模型的不同客戶主觀更希望審計團隊人工提供定制化的服務。

團隊主觀也希望一個受市場authorized的審計公司提供較深度定制化審計服務并且蓋戳。因此,提供monitoringservice會是專業安全團隊切入可規模化產品的一個很好的機會點。

3)為defi項目方,DAO或個人服務的insurance業務可能會成為下一片藍海。考慮到目前市場對于黑客直接盜取私鑰等攻擊方法并沒有良好的防范或解決方案,以風險規避和資產保障為目的的保險業務很可能在未來會受到更多的青睞。當然考慮到加密資產本身的復雜性和合規方面的多重不確定性,underwriter往往會承受更大的風險,因而在解決這一問題之前,insurance產業的發展可預見地,仍然將面臨一定的瓶頸。期待隨著整體加密資產體量的上升和更多傳統機構用戶的進入,insurance業務能在下一個周期來臨之前能夠實現更多制度性的完善。

原文鏈接

Tags:NFTSHIUSHIOST無聊猿nft交易平臺Meta Shiba BSCUSHIBA價格MOST Protocol

USDC
以“Uptober”結束,會是“Moonvember”嗎?_比特幣:小比特幣app下載

?10月在加密貨幣世界被吹捧為“Uptober”,因為領先的代幣通常會反彈并為投資者帶來可觀的收益。然而,2022年10月與其他時間不同,因為加密市場開始處于不利地位.

1900/1/1 0:00:00
除非 ETH 跌破該支撐位,否則以太坊價格將迎來新一輪反彈_DAS:以太坊價格今日行情

以太坊在兌美元匯率1,550美元區域上方顯示出積極跡象。除非它突破1,550美元的支撐區域,否則ETH可能會開始新的反彈。以太坊正在盤整,并在1,550美元支撐區域上方顯示出積極跡象.

1900/1/1 0:00:00
鮑威爾是否暗示放緩加息步伐?這是美聯儲決議最大的看點!_數字貨幣:數字貨幣拉人頭的傳銷

周三,全球市場將迎來美聯儲利率決議這一重磅風險事件。市場預計此次加息幅度將達到75個基點。但相比此次決議的加息幅度,投資者對于未來會議政策走向更加關注.

1900/1/1 0:00:00
解碼比特幣BTC價格到2022年底飆升至3萬美元以上的可能性_比特幣:Metaverse Index

盡管打破了所有記錄,但比特幣很快失去了對創紀錄價格的控制,并在去年年底前開始下跌。由于多種情況,包括中國對比特幣開采的限制和Terra崩盤,該代幣逐漸跌至最低點.

1900/1/1 0:00:00
Streamlined Ventures旗下基金募資1.4億美元,將投資Web2.5公司_WEB:AVASTR幣

本文來自?NFTgators,原文作者:NicholasKitonyiOdaily星球日報譯者|余順遂 摘要: StreamlinedVentures最近宣布為兩只基金募集1.4億美元.

1900/1/1 0:00:00
人權基金會CSO:LNLink和Cashu項目將獲得BTC賞金_ITC:泰達幣和比特幣區別在哪

11月1日消息,人權基金會首席戰略官AlexGladstein近日發推稱,OpensatsBoard已決定,WilliamCasarin開發的項目LNLink有資格獲得‘Tipjar’賞金.

1900/1/1 0:00:00
ads