區塊鏈安全100問 | 第七篇：智能合約審計流程及審計內容_HOLD

零時科技區塊鏈安全100問正式上線，以通俗易懂的語言形式為大家講解區塊鏈行業知識，以及區塊鏈生態應用存在的安全問題，讓更多人了解區塊鏈及區塊鏈安全。

前言

當前區塊鏈技術和應用尚處于快速發展的初級階段，面臨的安全風險種類繁多，從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系,安全審計,技術架構,隱私數據保護和基礎設施的全局發展提出了全新的考驗。

支付公司Stronghold推出1億美元投資基金專注于Web3和區塊鏈領域:金色財經報道，支付和金融基礎設施公司Stronghold宣布推出 1 億美元投資基金 Stronghold Capital，將面向三個核心領域進行投資：被忽視和代表性不足的創始人和基金經理、支付和金融科技生態系統、Web3 和區塊鏈生態系統。Stronghold 首席執行官兼聯合創始人 Tammy Camp 將擔任 Stronghold Capital 的基金經理。

該基金已經通過 Maple Finance 的 DeFi 貸款投資了 Sam Bankman-Fried 的 Alameda Research，并投資了 Precursor Ventures，該公司支持有前途的種子階段創新者，并正在尋求投資創始人為女性、LGBTQ+ 或黑人、土著、有色人種 (BIPOC) 的公司。Stronghold 首席執行官 Tammy Camp表示：“Stronghold Capital 將創造機會開發新產品和商業模式，從而改善每個人的金融基礎設施”。（businesswire）[2022/2/17 9:56:57]

PART01-智能合約審計流程介紹

韓國“區塊鏈城市”中的大多數公司都不知道什么是區塊鏈:釜山研究所最近的一份報告顯示：在韓國釜山的區塊鏈沙盒城市中，有62%的公司顯然對這項技術一無所知。

自去年以來，釜山被韓國聯邦政府視為區塊鏈開發的“無監管”區域。該市在區塊鏈領域開展了許多項目，包括基于區塊鏈的虛擬電廠的計劃，甚至是其自己的市政加密貨幣的計劃。

來自各行各業的100家接受調查的公司中，有91%的人表示他們沒有計劃采用區塊鏈技術。在對26家與區塊鏈相關的公司的另一項調查中，有23%的人抱怨最近面臨的監管障礙。此外，有19%的區塊鏈企業還表示他們對發展感到孤獨，指責政府缺乏對區塊鏈采用的支持，而15.4%的企業則擔心缺乏技術和人力資源來開發該技術。[2020/9/19]

為了檢查合約的安全性，一般會測試多種攻擊，模擬多種攻擊場景，通過標準審計流程進行安全審查，以確保合約是否安全。

聲音 | 信通院院長：區塊鏈等新興技術與工業互聯網平臺的融合集成發展有待探索:據新京報消息，中國信息通信研究院院長劉多近期接受采訪時表示：平臺形態和技術體系還在快速發展中，工業APP等新型工業軟件架構尚在探索，操作系統生態格局尚未確立，人工智能、區塊鏈等新興前沿技術與工業互聯網平臺的融合集成發展有待探索。[2018/11/9]

正常審計流程應包括前期應用審計的需求溝通，比如審計合約內容、審計時間、審計預算等；確定審計需求后需要簽訂協議、達成共識；然后安全團隊開始安全審計，以及審計報告的輸出，開發團隊針對報告中的安全問題進行修復，安全團隊協助修改后的復測，確保安全問題已修復，提升合約的安全性。

星瀚資本楊歌：區塊鏈是人工智能浪潮的前奏曲:星瀚資本創始合伙人楊歌認為，很多數據是不能直接用的，或者數據噪音非常大，沒有辦法直接整合到人工智能應用中去。而區塊鏈是人工智能和大數據之間銜接的過程，它是把大數據整合成標準化的模塊，讓數據變成一塊一塊標準化的基礎，然后讓大數據去分析。[2018/4/12]

智能合約代碼審計方式：

-了解智能合約協議的邏輯運轉流程

-分析智能合約邏輯設計規范和設計目的

-工具測試智能合約存在的安全風險

-測試針對智能合約的常見攻擊手法

-根據項目流程進行模擬算法漏洞測試

PART02-智能合約常規漏洞有哪些？

1）以太坊智能合約

重入攻擊浮點數和數值精度非預期的Ether整數溢出重入攻擊浮點數和數值精度默認可見性Tx.origin身份驗證錯誤的構造函數未驗證返回值不安全的隨機數時間戳依賴交易順序依賴Delegatecall調用Call調用拒絕服務邏輯設計缺陷假充值漏洞短地址攻擊未初始化的存儲指針代幣增發凍結賬戶繞過合約Gas優化變量覆蓋惡意后門2）EOS合約

權限校驗漏洞轉賬通知偽造漏洞Apply函數權限校驗漏洞整數溢出漏洞權限校驗漏洞轉賬通知偽造漏洞Apply函數權限校驗漏洞弱隨機數種子漏洞凍結賬戶繞過漏洞拒絕服務漏洞代碼邏輯漏洞假幣攻擊回滾攻擊重放攻擊惡意后門

PART03-智能合約審計報告的結構

1）審計報告的封面：

審計報告的封面中體現審計對象的名稱、審計團隊及報告的發布日期。

2）審計概述及項目背景：

概述和項目背景進行細致劃分，使得審計報告更加清晰明了，其中項目背景對項目簡介和審計范圍做了詳細介紹。

3）合約架構分析：

通過目錄結構和合約詳情說明該項目合約文件及對應合約的主要方法參數等。

4）審計詳情：

在審計詳情中通過風險分布、風險審計詳情重點介紹合約審計過程中存在的相關風險，其中包括風險名稱、漏洞描述、風險等級、安全建議、修復狀態及審計結果等信息。

作為關心項目方安全的投資者，通過以上幾個部分基本可以了解到如何審閱項目；剩下的部分則是審計團隊安全審計的工具介紹、免責聲明及安全審計團隊的基本信息。

智能合約審計報告不是驗證代碼安全的法律文件；沒有人能100％確保代碼在未來不會發生錯誤或產生漏洞。審計團隊對項目的審計報告只表示審計團隊對項目進行過安全評估，這僅僅是保證你的代碼已被專家校訂過，基本上是安全的。選擇權最終掌握在項目方及投資者手中。

區塊鏈安全100問正在持續更新，歡迎大家后臺評論留言自己的觀點。

Tags：區塊鏈HOLDtronHOL區塊鏈運用的技術中不包括哪一項內容Holdex FinancePatronTholos

SAND