PAR:区块链安全100问 | 第七篇：智能合约审计流程及审计内容

零时科技区块链安全100问正式上线，以通俗易懂的语言形式为大家讲解区块链行业知识，以及区块链生态应用存在的安全问题，让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

工信部谢少锋：两化融合是互联网和区块链等新信息技术在工业领域的应用:工业和信息化部信息技术发展司司长谢少锋在9月17日的新闻发布会上表示，信息化和工业化融合，也就是两化融合，是互联网、大数据、人工智能和区块链等新一代信息技术在工业领域的应用，是制造强国和网络强国建设的“扣合点”，也是中国特色新型工业化道路的集中体现。（国务院新闻办公室）[2020/9/17]

PART01-智能合约审计流程介绍

为了检查合约的安全性，一般会测试多种攻击，模拟多种攻击场景，通过标准审计流程进行安全审查，以确保合约是否安全。

正常审计流程应包括前期应用审计的需求沟通，比如审计合约内容、审计时间、审计预算等；确定审计需求后需要签订协议、达成共识；然后安全团队开始安全审计，以及审计报告的输出，开发团队针对报告中的安全问题进行修复，安全团队协助修改后的复测，确保安全问题已修复，提升合约的安全性。

声音 | Alogrand基金会运营主管：区块链技术在物流、公益及医疗等方面对疫情防控发挥作用:在今日金色财经对话TOP Network的线上直播中，针对“区块链技术在疫情防控中有哪些帮助作用？”的提问，Alogrand基金会运营主管陈芳芳发言指出：区块链技术所特有的去中心化、公开透明、信息可追溯、通过智能合约自动执行优势，在物流、公益及医疗等方面对疫情防控发挥作用。 1. 物流方面 – 溯源存证：疫情期间物资紧缺，虽各地大量物资驰援武汉，但是由于物资分发与配送的问题，紧缺物资往往难以送达最需要的人手里——区块链技术可实现物流信息上链，数据多点存储，信息公开实时共享，确保物资到位，规避掉包、作假等问题，并能实时向大众公布物资的流向，从而提高物流效率及公信力。2. 公益方面 – 公开透明：疫情期间全国捐赠款项达数百亿，而通过区块链技术可建立一个去中心化的共识机制，基于参与者共识，实现数据公开透明，解决公益慈善领域的信息披露和资金及物资流通透明问题。3. 从医疗方面 – 数据上链：目前疫情最大的困难之一是人口流动带来的感染隐患——借助区块链技术，可打通不同交通信息系统之间的交互壁垒，将该患者停留过的地点，从数据库中抽取出来；同时，病患信息上链也可实现跨区域、跨医院的实时共享，达到病人在各医院皆可迅速就诊。此外，药品的生产、流通、使用的整个流程都可进行上链，实现全流程监管，确保药品安全。[2020/2/12]

声音 | 中山大学教授余向阳：当前需要区块链建立智能互证数据处理系统:2019年11月30日，“量子信息与区块链技术”广州论坛在华南理工大学成功召开。中山大学教授，广州致链科技有限公司首席科学家余向阳发表了题为《区块链技术及应用实践》的主题演讲。他提出，当前的数据特性，正在实现多维采集、不断融合的特点，需要利用区块链特性，建立智能互证数据处理系统，从而完成区块链思维模式下的数据逻辑。[2019/12/3]

智能合约代码审计方式：

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

声音 | 上海股交所总经理：区块链想要大规模发展要做好社会科普工作:金色财经报道，上海股交所总经理张云峰表示，区块链当前还处于一个“概念”的阶段，距离成熟应用，影响到百姓的日常生活还有很长的路要走。对于“区块链”和其会带来的社会和经济效果，沈阳应当持审慎的态度。区块链想要大规模发展，一方面要做好这项复杂技术的社会科普工作，加快社会大众对区块链的了解。另一方面，要充分发挥市场的作用，让企业用实实在在的技术创新，赋能实体经济的发展。[2019/11/17]

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

PART02-智能合约常规漏洞有哪些？

1）以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2）EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门

PART03-智能合约审计报告的结构

1）审计报告的封面：

审计报告的封面中体现审计对象的名称、审计团队及报告的发布日期。

2）审计概述及项目背景：

概述和项目背景进行细致划分，使得审计报告更加清晰明了，其中项目背景对项目简介和审计范围做了详细介绍。

3）合约架构分析：

通过目录结构和合约详情说明该项目合约文件及对应合约的主要方法参数等。

4）审计详情：

在审计详情中通过风险分布、风险审计详情重点介绍合约审计过程中存在的相关风险，其中包括风险名称、漏洞描述、风险等级、安全建议、修复状态及审计结果等信息。

作为关心项目方安全的投资者，通过以上几个部分基本可以了解到如何审阅项目；剩下的部分则是审计团队安全审计的工具介绍、免责声明及安全审计团队的基本信息。

智能合约审计报告不是验证代码安全的法律文件；没有人能100％确保代码在未来不会发生错误或产生漏洞。审计团队对项目的审计报告只表示审计团队对项目进行过安全评估，这仅仅是保证你的代码已被专家校订过，基本上是安全的。选择权最终掌握在项目方及投资者手中。

区块链安全100问正在持续更新，欢迎大家后台评论留言自己的观点。

标签：区块链ARTPARPART银行区块链bitmart交易所排名The Everlasting ParachainOmega Particle

SOL热门资讯