近年来,随着四大陆续推出自己的区块链审计技术,想必大家对于区块链审计已经并不陌生。但是说到智能合约的安全审计,可能很多人仍然会感到很陌生。今天,小编就带领大家一起来了解一下这个审计圈里的新生宠儿——智能合约安全审计。
想要了解智能合约的安全审计,我们首先要知道什么是智能合约?
智能合约(Smart Contract)这个说法的首次提出可以追溯到1995年,几乎与互联网的概念同时产生。简单来说,智能合约就是传统合约的数字化版本,可以在满足其源代码中写入的条件中自行执行。它的工作原理类似于一个计算机程序的if-then语句。当计算机语言中一个事先设定好的条件被外界触发时,智能合约就会执行相应的合同条款。
作为运行在区块链上的计算机程序,智能合约因为区块链的不可篡改性也具有不可更改性。它的应用使得区块链不再仅仅是一个分布式账本数据库,变得能够完成一定程度的业务处理。目前,智能合约技术在供应链管理、电子投票、酒店旅游业等多个领域都得到了应用,可以算是市场前景十分广阔的新兴行业。
然而,新技术往往也意味着隐藏着新的风险。2016年6月17日,区块链业界最大的众筹项目The DAO遭到攻击,造成了总价值超过5000万美元的损失。此次攻击事件产生的原因就是由于以太坊的智能合约存在着巨大的漏洞所造成。此次事件导致300多万以太币资产被分离出The DAO资产池,ETH市场价格从记录高位21.50美元跌至15.28美元。2017年7月和11月,以太坊Parity钱包先后两次出现重大bug,分别导致千万美金被盗和上亿美元被冻结。而就在近日,智能合约审计企业CertiK对Etherscan平台进行了技术集成与大规模的通证安全检测,发现了牵涉总市值高达四千万美金的安全漏洞。
面对如此具有挑战性的安全风险,如何保障智能合约的安全性成为了一个热议的话题。为了最大程度地减少安全问题,确保区块链上的智能合约得到高效地执行,对各种合约代码的审计成为了一个不该被忽视的专业领域。目前,区块链领域的智能合约代码审计仍然处于初步阶段。苏黎世联邦理工学院已经提供了针对初步的以太坊合约的审计服务。日前,致力于解决区块链安全问题的BYSEC团队发布了全球首个智能合约自动化安全审计Saas平台——VULSCAN。但其运行效果还有待观察。国内,360等企业也开始把目光投向这个新兴领域。目前已知的可行的安全性分析方法是使用形式化验证方法对智能合约代码进行安全性分析。简单来讲就是利用穷举法搜索智能合约的状态空间中是否存在重放攻击。但因为其只针对重放攻击,功能相对单一。
小编相信,在未来的发展中,类似于智能合约之类的代码安全审计将会拥有一个广阔的发展前景。
领取专属 10元无门槛券
私享最新 技术干货