通付盾發(fā)布2021年Q1智能合約安全態(tài)勢(shì)感知報(bào)告，攜手OWASP線上解析“智能合約安全”

2021年4月11日，通付盾攜手OWASP中國(guó)，舉行“智能合約安全”線上直播分享，來自通付盾SharkTeam團(tuán)隊(duì)安全專家為大家解析智能合約安全攻與防，并發(fā)布了《通付盾2021年Q1智能合約安全態(tài)勢(shì)感知報(bào)告》(以下簡(jiǎn)稱‘報(bào)告’)。這是通付盾首次以報(bào)告形式，面對(duì)日益突出的區(qū)塊鏈安全問題，及以太坊智能合約漏洞不斷增多的現(xiàn)狀，向公眾作出的總結(jié)性披露。

智能合約這一概念最早由計(jì)算機(jī)學(xué)家和法學(xué)家尼克·薩博在20世紀(jì)90年代提出,作為區(qū)塊鏈系統(tǒng)的重要組成部分，智能合約極大地?cái)U(kuò)展了區(qū)塊鏈的應(yīng)用場(chǎng)景與現(xiàn)實(shí)意義。相比于普通的程序,智能合約更容易成為攻擊者的目標(biāo)，一方面,對(duì)智能合約的攻擊有更高的經(jīng)濟(jì)價(jià)值，已成為近年來安全事件的高發(fā)地;而更為重要的是,引入智能合約的初衷在于借助區(qū)塊鏈的特性來保證合約的可信賴,而智能合約漏洞會(huì)使得合約出現(xiàn)非預(yù)期的行為,從而可能使其變?yōu)橐环?ldquo;不平等合約”,從而失去了智能合約的意義。一次又一次的安全事件表明,智能合約的安全形勢(shì)十分嚴(yán)峻，對(duì)于智能合約安全的審計(jì)和保護(hù)也十分迫切。

作為國(guó)內(nèi)最早布局智能合約審計(jì)的安全團(tuán)隊(duì)，通付盾SharkTeam團(tuán)隊(duì)一直致力于區(qū)塊鏈安全的研發(fā)工作，歷經(jīng)數(shù)年沉淀，在去中心數(shù)字身份認(rèn)證、區(qū)塊鏈密碼、智能合約安全等方向，團(tuán)隊(duì)積累了大量的安全經(jīng)驗(yàn)，并在此次報(bào)告中體現(xiàn)。

報(bào)告中，通付盾區(qū)塊鏈安全團(tuán)隊(duì)(SharkTeam)選取了主流的41個(gè)以太坊區(qū)塊鏈項(xiàng)目，并對(duì)覆蓋高級(jí)語言層、虛擬機(jī)層、區(qū)塊鏈層、業(yè)務(wù)邏輯層的75項(xiàng)常見安全問題進(jìn)行了自動(dòng)化安全掃描，共計(jì)發(fā)現(xiàn)安全問題2192項(xiàng)。針對(duì)所發(fā)現(xiàn)的安全問題，報(bào)告從漏洞位置分布、危害等級(jí)分布、典型安全事件、攻擊原理分析、安全防范技術(shù)等維度對(duì)這些安全風(fēng)險(xiǎn)和防范手段進(jìn)行全面的分析，幫助開發(fā)者有效保障智能合約安全。

此外，通付盾還對(duì)智能合約的安全進(jìn)行系統(tǒng)化研究，從系統(tǒng)性安全的角度去分析智能合約的安全問題，并提出了智能合約安全的四層威脅模型,即來自于高級(jí)語言、虛擬機(jī)、區(qū)塊鏈、業(yè)務(wù)邏輯四個(gè)層面100多類智能合約安全漏洞，構(gòu)建智能合約安全漏洞庫(kù)，為智能合約安全問題進(jìn)行漏洞編號(hào)(TVE：Tongfudun Smart Contract Vulnerabilities & Exposures)，并為開發(fā)者和用戶提供專業(yè)的安全修復(fù)建議。

項(xiàng)目開發(fā)團(tuán)隊(duì)可參考通付盾區(qū)塊鏈安全團(tuán)隊(duì)的安全建議，完善合約開發(fā)和發(fā)布流程，從設(shè)計(jì)、開發(fā)、測(cè)試、審計(jì)到部署、監(jiān)控、應(yīng)急響應(yīng)，保護(hù)智能合約全生命周期安全。

關(guān)于通付盾SharkTeam：

通付盾區(qū)塊鏈安全團(tuán)隊(duì)(SharkTeam)專注于智能合約安全，由擁有多年一線網(wǎng)絡(luò)安全實(shí)戰(zhàn)經(jīng)驗(yàn)的團(tuán)隊(duì)成員組成，精通區(qū)塊鏈和智能合約底層原理，具備完善的區(qū)塊鏈漏洞挖掘和智能合約審計(jì)能力，可提供全面的威脅建模、合約審計(jì)、應(yīng)急響應(yīng)服務(wù)，已幫助多個(gè)知名區(qū)塊鏈項(xiàng)目發(fā)現(xiàn)并修復(fù)安全漏洞，致力于保護(hù)用戶數(shù)字資產(chǎn)安全與隱私安全。

" In Math，We Trust !"

關(guān)于OWASP中國(guó)：

OWASP是一個(gè)開源的、非盈利的全球性安全組織，致力于應(yīng)用軟件的安全研究。目前OWASP全球擁有250個(gè)分部近7萬名會(huì)員，共同推動(dòng)了安全標(biāo)準(zhǔn)、安全測(cè)試工具、安全指導(dǎo)手冊(cè)等應(yīng)用安全技術(shù)的發(fā)展。近幾年，OWASP峰會(huì)以及各國(guó)OWASP年會(huì)均取得了巨大的成功，推動(dòng)了數(shù)以百萬的IT從業(yè)人員對(duì)應(yīng)用安全的關(guān)注以及理解，并為各類企業(yè)的應(yīng)用安全提供了明確的指引。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）