DAPP:你玩的Dapp真的安全吗？Trustlook反编译平台给程序员风险提示

只要谈到区块链、以太坊就必定离不开“智能合约”这个词，由于具备了最基本的图灵完备性，开发者可以基于以太坊完成各种应用的开发。据Odaily星球日报2月25日发布的ETH周报显示，目前ETH链上Dapp开发累计至1602个，“类”、“交易所”仍然是目前ETHDapp生态中日活以及交易额最高的两大应用。智能合约为以太坊社区注入了生机，促成了生态的繁荣，但也带来了各种各种各样的安全问题。基于智能合约的各类Dapp真的靠谱吗？类游戏真的就如其说明书所言的公平吗？Odaily星球日报最近接触的安全公司Trustlook在2019年1月发布了基于二进制智能合约反编译开放平台SmartContractInsight。据Trustlook创始人AllanZhang介绍，他们认为，让区块链变得更安全的唯一路径是从工具的角度重建区块链社区——打造一个可用的工具，让区块链代码可读，漏洞可被发现，从而做到真正的开源和共建。很多Dapp的合约都没有开源，或是处于半开源状态，对用户来说，代码是否安全需要考量。机器语言是用二进制代码表示的一种计算机能直接识别和执行的一种机器指令，在智能合约中，业界称为二进制的EVM代码。也就是说，在目前的状况下，社区里的开发者如果对某一份智能合约产生了兴趣，想要去了解它的功能甚至查找漏洞，只能够接触到二进制代码，对于大部分程序员而言，这是较大的障碍。

794万枚MAV通过3个刚创建地址同时从币安提出:金色财经报道，据余烬监测，1 小时前，794万枚MAV (价值约合227万美元) 通过3个刚创建地址同时从币安提出。[2023/8/8 21:31:56]

未编译的机器代码长这样“反编译开放平台”这个概念听起来有点拗口，简单来讲就是将二进制的机器代码或通过合约地址逆向成人类可读的计算机高级语言，并根据结果作出风险提示。目前提出的漏洞包括：整数数值溢出漏洞、重入攻击漏洞、外部调用返回值未校验漏洞、tx.origin依赖漏洞以及时间戳依赖漏洞等，用灰底的“//ISSUE：”提醒。据介绍，整数数值漏洞说明币有无限增发风险；重入攻击最有名，著名的DAOattack就是这个漏洞造成的，它最造成攻击者重复调用取款函数，一直将合约账户中的所有代币取走；外部调用返回值是指，智能合约在地址上执行操作的底层方法，比如：address.call()、address.callcode()、address.delegatecall()和address.send。这些底层方法不会抛出异常(throw)，只是会在遇到错误时返回false。在合约中调用外部合约时，应该对返回值进行判断。如果没有判断，那么调用者可能会误判交易是否成功，对于交易所造成财产损失；tx.origin依赖漏洞是指，不慎使用tx.origin进行鉴权认证有可能带来钓鱼攻击。时间戳依赖漏洞指的是一些类的Dapp使用时间戳来生成随机数，会造成类应用结果可预测，这样攻击者可以直接赢得的奖励。举个例子，我们从以太坊上选择一个211b合约地址，如：0x20B5c52d43a87ae8B375670d47D572681753211b，将这个合约地址用SmartContractInsight平台“破解”，可以得到：

数据：6月比特币链上NFT销售额超1亿美元，较上月缩水44%:7月1日消息，据CryptoSlam链上NFT销售数据显示，6月比特币链上NFT销售额达到110,161,309.36美元，交易量为195,725笔。不过该指标较5月份出现了大幅下滑，5月比特币链上NFT销售额为195,975,372美元，这意味着6月跌幅达到44%。[2023/7/1 22:11:36]

编译后的高级语言及风险提示SmartContractInsight平台在提醒时用提醒风险或异常，方便判别合约安全性。我们可以看到，刚刚的合约地址反编译后得到的代码有整数溢出风险，也就是说，如果这是一个发币平台，就意味着这个币有无限增发的风险。目前SmartContractInsight平台免费开放，但如果对二进制合约有更详尽的了解需求，平台也提供人工审核部分，收部分安全费用。目前该平台支持以太坊或基于EVM代码的合约检测。作为工具，操作非常简单，但如果能根据编译结果沉淀出一些分析结果或许更好。智能合约的安全问题一直被行业关注。此前，安全公司CertiK发布智能合约自动检测引擎CertiKAutoScanEngine，并对Etherscan平台进行了技术集成与大规模的通证安全检测；评级机构RatingToken面向C端上线其智能合约查询检测功能，同时为B端提供智能合约实时监测功能。Trustlook是位于硅谷的移动安全解决方案提供商，多年来服务于华为、亚马逊、高通等一线软硬件厂商，创始人AllanZhang曾是PaloAltoNetwork的创始安全工程师，团队目前17人，均属研发团队。公司于2015年完成1700万美元A轮融资，挚信资本领投，星元资本、线性资本等跟投。我是Odaily星球日报记者遂心，加好友烦请备注姓名、单位、职务和事由。

AI Meta Club推出AI Tool集:据官方消息，近日，AI Meta Club推出了丰富的AI Tool集，让用户可以轻松地使用多种AI工具来处理各种任务。该集合包括了AI写作，AI图片，AI语音，AI聊天，AI翻译，AI训练等八大类别，三十多款AI应用程序。AI Meta Club表示，这一举措将为广大AI爱好者提供更为便利的资源，帮助他们更加高效地完成各种任务。同时这些AI工具也能帮助DAO提高工作效率和降低管理成本。[2023/6/9 21:25:50]

Lysto获得1200万美元融资 Hashed领投:金色财经报道，区块链初创公司Lysto在A轮前融资中筹集了1200万美元，风险投资公司Square Peg、Beenext和Hashed共同领投了这轮融资，Tiger Global和Better Capital参与其中。天使投资人，包括BalajiSrinivasan（前Coinbase首席技术官）、PaulVeradittakit（PanteraCapital合伙人）、BinnyBansal（Flipkart联合创始人）以及BobbyOng和TMLee（CoinGecko联合创始人）也支持了这一轮融资。

作为交易的一部分，Square Peg的合伙人TusharRoy已加入Lysto的董事会。Lysto的前A轮融资使其迄今为止的总资金达到1500万美元。去年11月，该公司筹集了300万美元的种子资金。[2022/8/10 12:13:50]

标签：DAPDAPPAPPTINYFIDappdAppstore币世界官网app下载austinchain

POL币最新价格热门资讯