什么是智能合约审计？

2022-03-21, 04:37

摘要

在2021年的 DeFi智能合约中，有超过13亿美元的加密技术被利用、诈骗和攻击。造成如此巨大损失的原由可归咎于未经审计的合约、不当的分叉、彻头彻尾的欺诈骗术等。但根据Certik DeFi安全报告，大多数被攻击的项目都未经审计。

在本文中，我们将研究什么是智能合约，以及如何保护它们免受市场中的不良参与者的影响。

我们还将介绍一些智能合约审计公司及其关注点。

填写表单即可领取5点卡→

智能合约攻击

智能合约是指遵守区块链网络上设定指令的自动执行代码行。这些合约使用户能在区块链上进行不开放、透明的交易，而无需中央机构或任何法律体系约束。

由于它们的实用性，它们已成为复杂去中心化应用的构建区块，例如DeFi和DExs、ICO、投票协议和供应链管理。

尽管看起来很智能，但如果在代码中检测到任何安全漏洞或漏洞，它们可能会造成巨大损失。

通常，智能合约可能会执行其设计功能，但漏洞的存在将会使黑客趁虚而入，让他们构建能与智能合约交互以转移资金的代码。

- 一个典型例子是最近黑客对Qubit Finance的攻击，黑客利用其跨链桥窃取了206809个BNB代币——价值约8000万美元。
- 另一个载入史册的例子是2016年的DAO黑客攻击事件，造成5000万美元的损失。

智能合约已知或标准的漏洞

竞争危害: 活动不按预定顺序进行。在智能合约中，当外部合约接管控制流时，可能会出现竞争危害。

复刻攻击：在这种情况下，在第一次功能调用完成之前，会重复调用某些功能。关键的解决方案之一是阻止某些功能中的并发调用，尤其是在检查外部调用时。

跨功能竞争危害：描述共享相同状态、具有相同解决方案的两个功能的类似攻击。

交易顺序依赖（TOD）问题/前端运行问题：影响区块内交易顺序的另一个竞争危害。通过操纵交易顺序，一个用户可从另一个用户身上获益。

数据库操纵问题：这种攻击与依赖外部数据作为输入的智能合约有关。如果输入数据不正确，仍会输入并自动执行。依赖已被黑客攻击、弃用或具有恶意意图的数据库协议可能会对依赖它们的所有进程产生灾难性影响。

短地址攻击/参数问题：这种类型的攻击与EVM有关。当智能合约接受错误填充的参数时，就会发生这种情况。通过这种方式，攻击者可通过使用精心编制的地址，在将参数包含在交易中之前，使其对参数进行错误编码，从而利用编码错误的客户端进行攻击。

智能合约审计

与常规代码审计类似，智能合约的安全性与部署代码的质量成正比。它涉及对智能合约代码的广泛审查和分析。为此，智能合约审计员会检查常见错误、主平台已知错误，并模拟对代码的攻击。然后，开发人员（通常是外部智能合同审计员）能识别项目智能合约中的错误、潜在漏洞或安全漏洞。

该服务在区块链行业中至关重要，因为部署的合约不能更改或不可撤销。任何缺陷都极有可能导致合约功能失调或容易出现安全漏洞，从而导致无法挽回的损失。如今，获得审核验证是赢得用户信任的一个促进因素。

智能合约审计的步骤：

1. 检查代码功能和项目白皮书之间的一致性；
2. 检查标准漏洞；
3. 符号分析；
4. 通过自动化工具进行自动化分析（方法1）：像Truffle和Populus这样的工具用于自动代码测试。这种方法所需时间非常短，与手动代码检查相比，它具有更精细的渗透性。但它也有会造成错误识别和漏洞缺失的局限性；
5. 手动代码和代码质量审查（方法2）：在这种情况下，由经验丰富的开发人员手动检查代码。虽然自动检查速度更快，但手动检查会导致错误和遗漏漏洞；
6. 燃气使用分析；
7. 性能优化；
8. 报告准备。

智能合约审计公司

1. CertiK: CertiK成立于2018年，它是区块链市场中的首选之一，因为其透明性和验证引擎验证工具确保了扩容性和绝佳的安全性。也就是说，他们的方法主要是数学方法。该公司声称，他们在智能合约代码中检测到了超过31000个漏洞，审计了1737个项目，并获得了价值超过2110亿美元的数字资产。

2. Hacken：Hacken是另一家为以太坊、Tron、EOS等区块链平台提供审计服务的公司。他们的服务不仅限于区块链解决方案，Hacken还为IT公司提供安全产品。Hackennai安全平台是由Hacken设计的一个解决方案，通过启用暗网监控警报等功能，保护最终用户免受安全危害。

3. Quantstamp：Quantstamp是一家区块链安全公司，其开发者来自Facebook、谷歌和苹果等顶级IT公司。Quantamp拥有广泛的区块链安全工具和服务，包括：用于智能合同审计的去中心化安全网络。根据他们的说法，Quantstamp保护了超过2000亿美元的数字资产，他们有200多个基金会和创业公司参与了他们的产品。

4. ConsenSys：ConsenSys成立于2014年，是一支由软件开发人员、商业专家、律师和安全提供商组成的强大团队。其平台基于以太坊生态系统，旨在提供安全和产品保护、金融基础设施等区块链解决方案。该公司拥有智能合约安全分析产品。它为以太坊区块链提供加密经济分析和自动智能合约扫描。

5. Chainsecurity：提供保护区块链协议和智能合约的产品和服务。Chainsecurity受到超过85个区块链的信任，并获得了价值超过170亿美元的数字资产。他们还与普华永道瑞士公司合作进行安全审查，创建评估智能合约的解决方案，测试并运行智能合约的性能指标。

6. Runtime Verification：Runtime verification使用运行期验证的方法在虚拟机上运行安全审计，该方法提高了标准遵从性，在执行期间覆盖范围更广。运行时产品和服务包括智能合约验证、协议验证、咨询服务、Firefly、ERC20代币验证程序和IELE。

作者：Gate.io研究员M. Olatunji
声明：
*本文仅代表研究员观点，不构成任何交易建议。
*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处，否则将追究法律责任。