比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Filecoin > Info

安全問題頻現,程序分析如何提前捕獲安全漏?_TIG

Author:

Time:1900/1/1 0:00:00

如果你對區塊鏈技術感興趣的話,可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如,2016年臭名昭著的DAO攻擊事件,攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊,發生于2022年4月17日,造成1.82億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞,但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中,我們會解釋程序分析是什么,以及它如何幫助在部署前捕獲安全漏洞。

程序分析簡介

前Silvergate Bank董事會成員Rebecca Rettig擔任Polygon首席政策官:2月10日消息,加密友好銀行Silvergate Bank董事會成員Rebecca Rettig已經辭職,并加入Polygon Labs擔任首席政策官,負責為公司制定合理的加密貨幣政策。據悉,Rettig辭職不是由于與公司、銀行或董事會就與公司或銀行的運營、政策或慣例有關的任何事項發生任何爭議或意見不一致所致。[2023/2/10 11:58:40]

程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式,動態和靜態。動態程序分析的目標是通過執行程序來檢測問題,而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而,在這些技術之中,只有靜態分析能夠確保程序中不存在漏洞。相反,不同于靜態分析,動態分析能證明問題的存在,它并不能夠證明漏洞并不存在。

FTX稱4.15億美元加密貨幣遭黑客盜取,正在追回:1月18日消息,已破產的加密貨幣交易所FTX1月17日表示,正在評估可以返還給債務人的潛在追回款,包括創始人和前首席執行官山姆·班克曼-弗里德在巴哈馬的資產。FTX還表示,確定將追回55億美元的資產,其中包括被黑客盜走的4.15億美元加密貨幣。(鞭牛士)[2023/1/18 11:18:16]

乍一看,靜態分析聽起來似乎很神秘:表面看來,靜態分析似乎違反了一個被總結為萊斯定理「Rice'stheorem」的基本原則,該定理聲稱程序的每一個非平凡性質都是不可判定的。在此,語義屬性是關于程序行為的屬性,而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是,安全漏洞的存在是非平凡性質的一個典型例子。因此,關于「這個程序是否存在安全漏洞」這一問題,萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。?

新加坡金管局:商務部開始對幣安進行調查:金色財經報道,新加坡金管局:商務部開始對幣安進行調查。交易平臺幣安(Binance)因可能違反支付服務法而受到調查。交易平臺幣安(Binance)和FTX之間的區別很明顯,沒有證據表明FTX直白地招攬新加坡用戶。[2022/11/21 7:51:41]

那么,靜態分析的可行性源自哪里呢?答案藏于以下的觀察:沒錯,沒有一個算法能夠準確地給出是或否,但可以有一個算法在程序有安全漏洞時總是會回答「是」,在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說,只要我們愿意容忍一些誤報,我們就可以繞過賴斯定理和不可判定性。

V神回應合并后出塊穩定:實現更好的EIP 1559性能:9月15日消息,以太坊預測平臺Gnosis創始人Martin K?ppelmann在推特發布最新100個區塊的出塊時間圖表,并表示以太坊合并后穩定性極好,只有一個漏塊,已經是最好的情況了。

對此,V神評論稱,一個重要的推論是其實現更好的EIP 1559性能(因為更少的塊會達到2x限制)。到目前為止,滿塊的百分比已經從大約20%下降到大約10%。[2022/9/15 6:58:53]

靜態分析原理

讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說,不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合,如下圖所示:

此處,藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集,紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性,永遠沒有一個算法能夠準確表明藍色區域到底是什么,但是我們能設計一個算法以系統性的方式過近似這個藍色區域,如上面常規綠色區域所示。只要綠色和紅色的交集為空,我們就有證據證明程序沒有做壞事。然而,如果我們的過近似不夠不準確,可能會使得紅色區域重疊,即使藍色和紅色區域的交集依舊為空,如下圖所示:

這種情況會導致所謂的「誤報」,由于分析與真實問題不相應而報告的虛假錯誤。一般而言,靜態分析的圣杯是構造過近似,即過近似足夠準確因此我們在實際中不會獲得很誤報過近似的計算足夠有效率,因此分析可擴展到我們所關心的現實世界的程序。

附帶說明一下,還可以設計靜態分析算法來近似如下所示的程序行為:

在此情況下,綠色區域包含在藍色區域內,和另一種方式正好相反。這種分析是不可靠的,意味著可能會漏掉真正的程序錯誤:正如我們在上圖所看到的那樣,綠色和紅色的交集為空,因此即使程序真的存在漏洞,分析也不會報告問題。這會導致所謂的假陰性,真正的漏洞被靜態分析給遺漏了。

大體來說,如果我們想獲得可證明的安全性,我們會想要可靠的從來不會有誤報的靜態分析器,同時還需要足夠精確,在實踐時不會報告太多誤報。然而,好消息是,幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文,我們會更詳細地介紹靜態分析器具體是如何運作的!

總結

程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術,包括區塊鏈應用程序。此外,可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。

Tags:FTX加密貨幣TIGETTKAMAX Vault (NFTX)穩定幣和加密貨幣的關系TIGC價格FETT

Filecoin
Coinbase:穩定幣和不穩定的收益率_USDC

在這篇定量研究文章中,我們將研究Compound?FinanceV2DeFi協議的穩定幣貸款收益率,并分享我們對收益率表現、波動性以及哪些因素推動DeFi協議抵押借貸收益率的看法.

1900/1/1 0:00:00
卸任 Twitter CEO后,Jack Dorsey 建立了「比特幣產品帝國」_BLO

加密資產市場在過去一年的快速增長離不開傳統支付巨頭們的助攻。擁有3.77億用戶的Paypal已經為美國和英國的用戶開放了交易和持有比特幣、以太坊、比特現金和萊特幣功能,同時支持用戶使用這些加密資.

1900/1/1 0:00:00
Tiger VC DAO助你邁出投資數字資產第一步_TIGER

眾所周知,在社會階層不斷固化的今天,普通人的生活很難改變,富人越富窮人越窮的趨勢愈發明顯。隨著Web3的快速發展,加密領域又一次給予了普通人一次全新的機遇,但同時眾多融巨頭也以中心化VC的形式涌.

1900/1/1 0:00:00
數據分析LUNA事件連鎖反應:新增8萬地址投機套利,主要穩定幣總市值縮水84億美元_UST

UST和LUNA的暴雷風波持續發酵,多米諾骨牌倒下后產生了哪些連鎖反應呢?實際上,自從DeFi興起后,對其“可組合性”的討論就沒有停止過.

1900/1/1 0:00:00
火星周刊 | a16z推出6億美元游戲基金;The Sandbox發布2022線路圖_TER

火星編輯時刻 《火星專題|從巔峰到灰飛煙滅,Terra與UST慘不忍睹的背后真相在哪?》作為曾經擠進TOP10的公鏈Terra,在算法穩定幣UST脫錨后,短短一周便從巔峰到近乎歸零.

1900/1/1 0:00:00
理解 NFT 價值,它最有可能在哪些領域大展身手?_NFT

NFT當前最主要的價值在于,授權藝術家、創作者和收藏家行使他們分發、轉售和收藏的權利。NFT藝術品《第一頓晚餐》以103.4ETH的價格成功拍賣NFT是數字資產嗎?是的.

1900/1/1 0:00:00
ads