從項(xiàng)目安全的角度來看，如果解決了代碼問題，真的能保證項(xiàng)目的安全嗎？
我不這么認(rèn)為。作為項(xiàng)目的一個(gè)非常重要的一點(diǎn)，智能合同不容忽視，但智能合同中還存在一些其他問題。一個(gè)項(xiàng)目不僅包括智能合同，還包括技術(shù)團(tuán)隊(duì)、白皮書質(zhì)量和社交網(wǎng)絡(luò)輿論，這可能會(huì)對(duì)我們的項(xiàng)目安全造成一定的風(fēng)險(xiǎn)。
例如，在技術(shù)團(tuán)隊(duì)中，我們統(tǒng)計(jì)有許多技術(shù)團(tuán)隊(duì)欺詐。這些簡歷實(shí)際上是不真實(shí)的，或者白皮書的相似性很高，但質(zhì)量很低。
再到羊毛收集現(xiàn)象，一個(gè)項(xiàng)目的空投，一個(gè)地址，可以收集很多硬幣。例如，在官方地址下，輸入一些使用這些官方名稱的以太幣，假裝發(fā)現(xiàn)一些空投，然后欺騙正常用戶。
因此，我們認(rèn)為區(qū)塊鏈安全是一種多維安全。從智能合同或代碼的角度來看，光線并不能保證整個(gè)項(xiàng)目的安全。我們應(yīng)該更多地結(jié)合大數(shù)據(jù)技術(shù)或人工智能技術(shù)npl測試項(xiàng)目安全性的自然語言分析技術(shù)。

智能合約的自動(dòng)審計(jì)
在我們統(tǒng)計(jì)的數(shù)據(jù)上，現(xiàn)在的智能合約已經(jīng)達(dá)到20萬之多。單純的從第三方的人工角度審計(jì)來說，可能已經(jīng)跟不上合約發(fā)展了，所以自動(dòng)化審批現(xiàn)在也是大家比較關(guān)注的。
自動(dòng)化審計(jì)可分為三種類型。一是基于特征代碼的匹配，二是基于形式化驗(yàn)證的自動(dòng)化檢測，三是基于符號(hào)和抽象的自動(dòng)化審批。
與傳統(tǒng)的特征代碼相似，智能合約的特征代碼匹配是我們通過匹配檢測模塊的源代碼來檢測和抽象的。
然而，智能合同仍然存在一個(gè)問題。事實(shí)上，合同在公共網(wǎng)絡(luò)上并不總是明確的。據(jù)我們統(tǒng)計(jì)，只有40%左右是明確的。因此，對(duì)于特征碼匹配，我們可能需要結(jié)合一些逆向來匹配一些特征碼，因此很難說。
我們來介紹一下基于符號(hào)執(zhí)行和抽象的自動(dòng)化檢測。目前有很多這樣的檢測工具，比如知名的Mythril、Oyente、Maian，以及其他符號(hào)執(zhí)行工具。事實(shí)上，智能合同的源代碼是通過SOC編譯成編譯器OPcode，也就EVM，類似于匯編執(zhí)行的操作碼，然后通過CFG建立(控制流程圖)，通過這種建模形式將其轉(zhuǎn)化為圖紙，讓我們更清楚地理解opcode例如，當(dāng)判斷出現(xiàn)時(shí)，我們可以更清楚地分析這些問題。
最后，我們可能是對(duì)符號(hào)抽象的分析Securify，在智能合約和其他源代碼有很大的不同，是智能合約代碼耦合很低，我們原來的代碼耦合很高，所以在智能合約檢測中，我們可以測試個(gè)別模塊，每個(gè)模塊建模，然后匹配一些惡意攻擊。
這與傳統(tǒng)資本自動(dòng)化檢測分析不同，Securify這樣，我們就可以完成抽象分析符號(hào)的測試。

熱點(diǎn)：以太幣 區(qū)塊鏈 智能合約 大數(shù)據(jù) 數(shù)據(jù) 以太