區塊鏈安全100問 | 第七篇：智能合約審計流程及審計內容_PlayDapp:區塊鏈專業就業前景

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

PlayDapp與《黑色沙漠》開發商Pearl Abyss子公司合作開發P2P區塊鏈引擎:3月30日消息，區塊鏈服務平臺 PlayDapp與韓國游戲開發商Pearl Abyss子公司Nettension簽署合作協議，兩家公司將通過將PlayDapp的區塊鏈共識算法與Nettension的“ProudNet”P2P服務器技術相結合，共同開發P2P區塊鏈引擎，該技術在性能和穩定性方面已經過驗證。

據悉，Pearl Abyss為《黑色沙漠》開發商。此前消息，區塊鏈服務平臺PlayDapp與三星合作推出Everland元宇宙。（khgames）[2022/3/30 14:25:53]

PART01-智能合約審計流程介紹

印度馬哈拉施特拉邦倉儲公司關于商品融資的區塊鏈試點項目進展順利:8月24日消息，印度馬哈拉施特拉邦倉儲公司（MSWC）在商品融資方面的區塊鏈試點項目進展順利。該項目在2020-21財年作為試點運行，有185名農民參與，發放了價值363億盧比的貸款。這個財政年度，已經有423名農民獲得了收據，共發放了價值9.75盧比的貸款。在區塊鏈技術的幫助下，農民可以在24小時內以他們的商品獲得貸款，而通過傳統方式則需要7天。據悉，商品融資是指金融機構以農產品為抵押發放的貸款。只要出示經認可倉庫發給農民或貿易商的倉庫收據，就可以獲得貸款。這一概念旨在幫助農民獲得更好的價格，防止低價銷售。（The Indian Express）[2021/8/24 22:34:17]

為了檢查合約的安全性，一般會測試多種攻擊，模擬多種攻擊場景，通過標準審計流程進行安全審查，以確保合約是否安全。

山東濟寧推出基于區塊鏈的健康碼人像識別核驗系統:近日，由山東省濟寧市大數據中心自主研發的健康碼人像識別核驗系統正式啟用。該系統所有后臺數據與互聯網邏輯隔離，采用區塊鏈加密存儲，云平臺等相關系統已通過等級保護三級測評，能最大限度確保數據安全，具有低成本、可復制性、可追溯性、安全性高的特點。（新華網）[2021/1/28 14:14:38]

正常審計流程應包括前期應用審計的需求溝通，比如審計合約內容、審計時間、審計預算等；確定審計需求后需要簽訂協議、達成共識；然后安全團隊開始安全審計，以及審計報告的輸出，開發團隊針對報告中的安全問題進行修復，安全團隊協助修改后的復測，確保安全問題已修復，提升合約的安全性。

動態 | 報告：美國國防部目前正在評估區塊鏈技術在軍事應用中的可行性:當前，區塊鏈技術的應用已經從金融領域逐漸進階到軍事領域。美國和北約在內的多個國家和國際組織均在積極嘗試推動區塊鏈技術在軍事領域的應用。C4ISRNET最新報告指出， 美國國防部目前正在評估區塊鏈技術在軍事應用中的可行性。美國2018年頒布的《國防授權法案》要求國防部對區塊鏈進行全面研究，探討如何將其應用于軍事領域。美國國防高級研究計劃局授予美國兩家計算機安全公司價值180萬美元的合同，用于構建其區塊鏈應用程序Guardtime無鑰簽名基礎設施KSI，以驗證完整性監控系統是否有可能構建一種不可破解的代碼形式，研究區塊鏈應用于保護軍用衛星、核武器等高度機密數據免遭黑客攻擊，提高關鍵系統的安全性。（中國航空新聞網）[2019/11/28]

智能合約代碼審計方式：

-了解智能合約協議的邏輯運轉流程

-分析智能合約邏輯設計規范和設計目的

-工具測試智能合約存在的安全風險

-測試針對智能合約的常見攻擊手法

-根據項目流程進行模擬算法漏洞測試

PART02-智能合約常規漏洞有哪些？

1）以太坊智能合約

重入攻擊浮點數和數值精度非預期的Ether整數溢出重入攻擊浮點數和數值精度默認可見性Tx.origin身份驗證錯誤的構造函數未驗證返回值不安全的隨機數時間戳依賴交易順序依賴Delegatecall調用Call調用拒絕服務邏輯設計缺陷假充值漏洞短地址攻擊未初始化的存儲指針代幣增發凍結賬戶繞過合約Gas優化變量覆蓋惡意后門2）EOS合約

權限校驗漏洞轉賬通知偽造漏洞Apply函數權限校驗漏洞整數溢出漏洞權限校驗漏洞轉賬通知偽造漏洞Apply函數權限校驗漏洞弱隨機數種子漏洞凍結賬戶繞過漏洞拒絕服務漏洞代碼邏輯漏洞假幣攻擊回滾攻擊重放攻擊惡意后門

PART03-智能合約審計報告的結構

1）審計報告的封面：

審計報告的封面中體現審計對象的名稱、審計團隊及報告的發布日期。

2）審計概述及項目背景：

概述和項目背景進行細致劃分，使得審計報告更加清晰明了，其中項目背景對項目簡介和審計范圍做了詳細介紹。

3）合約架構分析：

通過目錄結構和合約詳情說明該項目合約文件及對應合約的主要方法參數等。

4）審計詳情：

在審計詳情中通過風險分布、風險審計詳情重點介紹合約審計過程中存在的相關風險，其中包括風險名稱、漏洞描述、風險等級、安全建議、修復狀態及審計結果等信息。

作為關心項目方安全的投資者，通過以上幾個部分基本可以了解到如何審閱項目；剩下的部分則是審計團隊安全審計的工具介紹、免責聲明及安全審計團隊的基本信息。

智能合約審計報告不是驗證代碼安全的法律文件；沒有人能100％確保代碼在未來不會發生錯誤或產生漏洞。審計團隊對項目的審計報告只表示審計團隊對項目進行過安全評估，這僅僅是保證你的代碼已被專家校訂過，基本上是安全的。選擇權最終掌握在項目方及投資者手中。

區塊鏈安全100問正在持續更新，歡迎大家后臺評論留言自己的觀點。

Tags：區塊鏈APPPlayDappPLAY區塊鏈專業就業前景Zapper價格MetapPlay

NEAR