CertiK快速扫描——加速智能合约安全分析

CertiK view 34352 2020-11-16 10:31
share to
Scan QR code with WeChat

在万物皆可割的时代,连衣服都不敢穿绿色的。

币价的涨跌由各式各样的因素所影响着,投资供需、政策、金融、技术、利好利空等等。

比如前一阵子大火的Sushi爆出漏洞后一朝跌破币民们的承受极限,来自于利空消息的安全隐患或是漏洞,是导致币价疯狂下跌的最主要因素。

“生而为韭菜,我很抱歉”

在计算机领域,漏洞危险不仅仅来自研发、运维,甚至会来自于每一个使用者。

全面的安全审计是一个项目中,币民们最首要关注的部分。

然而刺激的资产过山车,如雨后春笋般的各大项目,如我一般的所有人上一秒还在疯狂的搜索项目的安全状况,搜索不到最新安全动态立刻转移目标。

过了时的安全审计报告,就像昨天的天气预告一样,食之无味,弃之正好。

这个时候,如果有实时的安全监测和快速扫描,就可以作为规避安全隐患必不可少的手段了。

CertiK快速扫描即刻的安全分析

结合CertiK开发的安全预言机,通过实时的安全检测为智能合约提供实时的链上安全评估。

所有用户能够在与协议进行交互之前评估交互方可能存在的任何潜在风险,从而最大程度地降低安全隐患。

更重要的是,快速扫描作为CertiK独立开发的最新工具,也可用于评估智能合约的安全性并提高安全预言机建议的可靠性与可信度。

CertiK快速扫描——加速智能合约安全分析

区块链取证公司CipherTrace发布的数据显示,在2020年前10个月,加密货币盗窃、遭到黑客攻击和欺诈造成的损失达到18亿美元。

此前在2019年,加密犯罪收益飙升至45.2亿美元,比2018年的17.4亿美元增加了160%。

在计算机领域,代码的无懈可击暂时还难以实现。漏洞不仅仅来自研发、运维,甚至会来自于使用者。

因此所有项目不仅需要安全审计服务,除此之外,实时的安全监测和快速扫描更是规避安全隐患必不可少的手段。

而查找和修复漏洞的最完善且最佳的方式是进行。

然而区块链项目往往时间紧迫,用户需要即刻的安全分析。这个时候

CertiK开发的安全产品,通过实时的安全检测为智能合约提供实时的链上安全评估。用户能够在与协议进行交互之前评估交互方可能存在的任何潜在风险,从而最大程度地降低安全隐患。

另一方面,快速扫描作为CertiK开发的最新工具,也有评估智能合约的安全性并提高安全预言机建议的可靠性与可信度的功能。

下文是一份CertiK快速扫描概况指南,帮助你解决最紧急的安全需求!

快速扫描简介

快速扫描是一个全新的安全工具,它利用。

快速扫描这一轻量便捷但功能强大的扫描系统由静态与动态双重技术提供支持,并通过生成安全评分。安全评分评估合约是否存在被黑客入侵或产生代码故障的潜在风险,根据智能合约复杂性的高低,快速扫描完成分析的时间在40至60分钟不等。

安全性基元

CertiK快速扫描安全性评分由静态和动态技术的结合实现,技术团队将其称为“安全性基元”。

它某种程度上类似于安全服务端点,但安全性基元是用于扫描智能合约的。

每个安全性基元都会根据智能合约评估特定的安全区域,并在之间评估出最为科学合理的安全分数。

CertiK快速扫描——加速智能合约安全分析

随着快速扫描的不断发展,更多安全性基元将被开发出来,以扩大智能合约的覆盖范围。

目前快速扫描的五种安全性基元分属两个类别:

假设以下五个基元,类似于游戏角色里的攻击+防御+生命回复+魔法回复+速度。因此,你也可以把快速扫描产品中的五个安全性基元理解为战斗五维。

五个战斗维度决定了游戏角色的总战力。当然,总战力相同的两个游戏角色,他们的五维偏好并不一定相同。

接下来,让我们仔细看看在快速扫描这则“游戏”当中,它的“五维”分别代表着什么,具体又是什么意思呢?

动态基元

1. 白名单基元

2. 黑名单基元

3. 质量基元

静态基元

4. 字节码分析基元

5. 源代码分析基元

No.1:

○ 基于CertiK Chain颁发的证书评分

○ 智能合约拥有的证书越多,则得分越高

样本证书包括:审计、源代码验证、编译器验证

No.2:黑

○ 基于CertiK的安全情报监控系统测试评分

○ 使用的技术包括:Twitter / Telegram社交媒体监测、反洗钱数据库监测、异常交易检测

No.3:质量

○ 基于智能合约定性层面的性能评分

○ 持续更新的人工审查

○ 评分标准包括:开源、用户活动、文档、团队匿名性

No.4:字节码分析基元

○ 分数基于静态分析工具,可检测字节码中的错误

○ 分数越低,意味着检测到越多的安全风险类别。(智能合约风险分类与测试案例链接:https://swcregistry.io/)

No.5:源代码分析基元

○ 基于静态分析工具评分,可检测源代码中的错误

○ 分数越低,意味着检测到越多的安全风险类别。(智能合约风险分类与测试案例链接:https://swcregistry.io/)

○ 使用的技术包括:形式化验证,模糊测试

根据合约复杂性,安全性基元会进行大量的实时计算,因此完成整个快速扫描大约需要。

每个安全基元计算出的分数将被汇总、加权并以最终安全分数的形式输出。

举个例子:

CertiK快速扫描——加速智能合约安全分析

智能合约A通过快速扫描运行,每个基元的反馈分数为:

白名单基元:100

黑名单基元:100

质量基元:70

字节码基元:85

源代码基元:80

最终,CertiK快速扫描将返回安全分数(100 + 100 + 70+ 85 + 80)/ 5 = 87

智能合约B通过快速扫描运行,每个基元的反馈分数为:

白名单基元:70

黑名单基元:100

质量基元:100

字节码基元:85

源代码基元:80

最终,CertiK快速扫描将返回安全分数(70 + 100 +100 + 85 + 80)/ 5 = 87

尽管两个智能合约的最终分数相同,但它们的安全性仍因各基元得分而异。因此,用户需要根据具体情况来做出决策。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: V神:51%攻击是区块链的一个基本属性 Next: 本周三 5 PM | “Chainlink 杀手”API3 X CoinDesk 中文版 AMA

Related