MEX:安全問題頻現，程序分析如何提前捕獲安全漏？

如果你對區塊鏈技術感興趣的話，可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如，2016年臭名昭著的DAO攻擊事件，攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊，發生于2022年4月17日，造成1.82億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞，但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中，我們會解釋程序分析是什么，以及它如何幫助在部署前捕獲安全漏洞。

程序分析簡介

Terraform Labs臨時CEO：各開發項目因頻繁指控和資金問題受阻，新項目旨在復蘇Luna，不會發行新代幣:7月23日消息，Terraform Labs臨時CEO Chris Amani表示，Terraform Labs有九個正在開發階段的項目，這些項目沒有Luna的國庫支持，難以與其他L1協議競爭，并且各開發項目均因頻繁指控受阻。Amani表示，這些項目都不會發行新代幣，而將專注于推動Luna復蘇。（Cointelegraph）

據此前報道，Terraform Labs任命前首席運營官及首席財務官Chris Amani為臨時首席執行官。該公司試圖表明，在前首席執行官Do Kwon被關押在黑山監獄的情況下，它的業務照常進行。[2023/7/23 15:53:20]

程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式，動態和靜態。動態程序分析的目標是通過執行程序來檢測問題，而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而，在這些技術之中，只有靜態分析能夠確保程序中不存在漏洞。相反，不同于靜態分析，動態分析能證明問題的存在，它并不能夠證明漏洞并不存在。

Helium新幣IOT過去24小時最大漲幅超370%:金色財經報道，去中心化無線通信網絡 Helium 遷移至 Solana 網絡后發行的新 Token IOT 過去 24 小時內最大漲幅超 370%。據悉，當前的原生 Token HNT 將不再由 LoRaWAN 熱點開采，取而代之的是開采 IOT，IOT 作為 Helium IoT 網絡的激勵和治理 Token 將始終由 Helium Network 的 HNT Token 支持，并且始終可以轉換為 HNT，贖回率由其國庫互換合約通過算法設置。據 Solana 區塊瀏覽器顯示，IOT 的最大供應量為 2000 億，流通中的 Token 數量約為 60 億。

據 CoinGecko 數據顯示，IOT 目前的交易價格為 0.00248 美元，完全稀釋后的市值為 4.95 億美元。根據其流通供應量，目前的市值約為 1500 萬美元。[2023/4/27 14:29:12]

乍一看，靜態分析聽起來似乎很神秘：表面看來，靜態分析似乎違反了一個被總結為萊斯定理「Rice'stheorem」的基本原則，該定理聲稱程序的每一個非平凡性質都是不可判定的。在此，語義屬性是關于程序行為的屬性，而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是，安全漏洞的存在是非平凡性質的一個典型例子。因此，關于「這個程序是否存在安全漏洞」這一問題，萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。?

報告：Ripple的XRP持有量首次低于總流通量的50%:10月28日消息，根據Ripple發布的2022年第三季度XRP市場報告，Ripple的XRP持有量首次低于總流通量的50%，即在Ripple的各種錢包持有的XRP數量首次低于500億枚，這駁斥了有關于該公司的XRP所有權表明XRP Ledger由Ripple控制的說法。此外，在目前XRPL上運行的130多個驗證者節點中，只有4個是Ripple運行的。

此外，報告披露Ripple第三季度XRP的總凈銷售額為3.1068億美元，而上一季度為4.089億美元。Ripple還強調其跨境支付產品ODL已在巴西推出，將支持巴西和墨西哥之間的交易。10月17日，超過80%的驗證者投票支持在XRPL主網上激活XLS-20 NFT修正案，預計該修正案將于2022年第四季度生效。[2022/10/28 11:52:21]

那么，靜態分析的可行性源自哪里呢？答案藏于以下的觀察：沒錯，沒有一個算法能夠準確地給出是或否，但可以有一個算法在程序有安全漏洞時總是會回答「是」，在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說，只要我們愿意容忍一些誤報，我們就可以繞過賴斯定理和不可判定性。

加密交易所Zipmex在新加坡申請延期以保護新加坡的債權人:7月28日消息，加密交易所 Zipmex 發布暫停公告，7 月 22 日 Zipmex 在新加坡的律師 Morgan Lewis Stamford LLC 已根據 2018 年新加坡破產、重組和解散法第 64 條代表 Zipmex 集團的幾個實體提交五份申請，尋求全球暫停，以禁止和限制針對這些公司的程序的開始或繼續，期限最長為六個月。在申請中尋求暫停救濟的實體是：Zipmex Asia Pte Ltd、Zipmex Pte Ltd、Zipmex Company Limited (incorporated in Thailand)、PT Zipmex Exchange Indonesia (incorporated in Indonesia) 和 Zipmex Australia Pty Ltd (incorporated in Australia)。根據新加坡法律，提交申請后會自動暫停 30 天。

此前，Zipmex曾確認其向Babel和Celsius提供的貸款價值共計5300萬美元。這兩家加密貨幣公司在加密貨幣市場遭受嚴重損失后拖欠貸款。[2022/7/28 2:43:44]

靜態分析原理

讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說，不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合，如下圖所示：

此處，藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集，紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性，永遠沒有一個算法能夠準確表明藍色區域到底是什么，但是我們能設計一個算法以系統性的方式過近似這個藍色區域，如上面常規綠色區域所示。只要綠色和紅色的交集為空，我們就有證據證明程序沒有做壞事。然而，如果我們的過近似不夠不準確，可能會使得紅色區域重疊，即使藍色和紅色區域的交集依舊為空，如下圖所示：

這種情況會導致所謂的「誤報」，由于分析與真實問題不相應而報告的虛假錯誤。一般而言，靜態分析的圣杯是構造過近似，即過近似足夠準確因此我們在實際中不會獲得很誤報過近似的計算足夠有效率，因此分析可擴展到我們所關心的現實世界的程序。

附帶說明一下，還可以設計靜態分析算法來近似如下所示的程序行為：

在此情況下，綠色區域包含在藍色區域內，和另一種方式正好相反。這種分析是不可靠的，意味著可能會漏掉真正的程序錯誤：正如我們在上圖所看到的那樣，綠色和紅色的交集為空，因此即使程序真的存在漏洞，分析也不會報告問題。這會導致所謂的假陰性，真正的漏洞被靜態分析給遺漏了。

大體來說，如果我們想獲得可證明的安全性，我們會想要可靠的從來不會有誤報的靜態分析器，同時還需要足夠精確，在實踐時不會報告太多誤報。然而，好消息是，幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文，我們會更詳細地介紹靜態分析器具體是如何運作的！

總結

程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術，包括區塊鏈應用程序。此外，可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。

Tags：MEXZIPIPMXRPDAMEXZippieIPM幣Synth iXRP

Gate交易所