2021年4月11日,通付盾携手OWASP中国,举行“智能合约安全”线上直播分享,来自通付盾SharkTeam团队安全专家为大家解析智能合约安全攻与防,并发布了《通付盾2021年Q1智能合约安全态势感知报告》(以下简称‘报告’)。这是通付盾首次以报告形式,面对日益突出的区块链安全问题,及以太坊智能合约漏洞不断增多的现状,向公众作出的总结性披露。
智能合约这一概念最早由计算机学家和法学家尼克·萨博在20世纪90年代提出,作为区块链系统的重要组成部分,智能合约极大地扩展了区块链的应用场景与现实意义。相比于普通的程序,智能合约更容易成为攻击者的目标,一方面,对智能合约的攻击有更高的经济价值,已成为近年来安全事件的高发地;而更为重要的是,引入智能合约的初衷在于借助区块链的特性来保证合约的可信赖,而智能合约漏洞会使得合约出现非预期的行为,从而可能使其变为一份“不平等合约”,从而失去了智能合约的意义。一次又一次的安全事件表明,智能合约的安全形势十分严峻,对于智能合约安全的审计和保护也十分迫切。
作为国内最早布局智能合约审计的安全团队,通付盾SharkTeam团队一直致力于区块链安全的研发工作,历经数年沉淀,在去中心数字身份认证、区块链密码、智能合约安全等方向,团队积累了大量的安全经验,并在此次报告中体现。
报告中,通付盾区块链安全团队(SharkTeam)选取了主流的41个以太坊区块链项目,并对覆盖高级语言层、虚拟机层、区块链层、业务逻辑层的75项常见安全问题进行了自动化安全扫描,共计发现安全问题2192项。针对所发现的安全问题,报告从漏洞位置分布、危害等级分布、典型安全事件、攻击原理分析、安全防范技术等维度对这些安全风险和防范手段进行全面的分析,帮助开发者有效保障智能合约安全。
此外,通付盾还对智能合约的安全进行系统化研究,从系统性安全的角度去分析智能合约的安全问题,并提出了智能合约安全的四层威胁模型,即来自于高级语言、虚拟机、区块链、业务逻辑四个层面100多类智能合约安全漏洞,构建智能合约安全漏洞库,为智能合约安全问题进行漏洞编号(TVE:Tongfudun Smart Contract Vulnerabilities & Exposures),并为开发者和用户提供专业的安全修复建议。
项目开发团队可参考通付盾区块链安全团队的安全建议,完善合约开发和发布流程,从设计、开发、测试、审计到部署、监控、应急响应,保护智能合约全生命周期安全。
关于通付盾SharkTeam:
通付盾区块链安全团队(SharkTeam)专注于智能合约安全,由拥有多年一线网络安全实战经验的团队成员组成,精通区块链和智能合约底层原理,具备完善的区块链漏洞挖掘和智能合约审计能力,可提供全面的威胁建模、合约审计、应急响应服务,已帮助多个知名区块链项目发现并修复安全漏洞,致力于保护用户数字资产安全与隐私安全。
" In Math,We Trust !"
关于OWASP中国:
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。