CON:你玩的Dapp真的安全嗎？Trustlook反編譯平臺給程序員風險提示

只要談到區塊鏈、以太坊就必定離不開“智能合約”這個詞，由于具備了最基本的圖靈完備性，開發者可以基于以太坊完成各種應用的開發。據Odaily星球日報2月25日發布的ETH周報顯示，目前ETH鏈上Dapp開發累計至1602個，“類”、“交易所”仍然是目前ETHDapp生態中日活以及交易額最高的兩大應用。智能合約為以太坊社區注入了生機，促成了生態的繁榮，但也帶來了各種各種各樣的安全問題。基于智能合約的各類Dapp真的靠譜嗎？類游戲真的就如其說明書所言的公平嗎？Odaily星球日報最近接觸的安全公司Trustlook在2019年1月發布了基于二進制智能合約反編譯開放平臺SmartContractInsight。據Trustlook創始人AllanZhang介紹，他們認為，讓區塊鏈變得更安全的唯一路徑是從工具的角度重建區塊鏈社區——打造一個可用的工具，讓區塊鏈代碼可讀，漏洞可被發現，從而做到真正的開源和共建。很多Dapp的合約都沒有開源，或是處于半開源狀態，對用戶來說，代碼是否安全需要考量。機器語言是用二進制代碼表示的一種計算機能直接識別和執行的一種機器指令，在智能合約中，業界稱為二進制的EVM代碼。也就是說，在目前的狀況下，社區里的開發者如果對某一份智能合約產生了興趣，想要去了解它的功能甚至查找漏洞，只能夠接觸到二進制代碼，對于大部分程序員而言，這是較大的障礙。

FTX起訴SBF和其他前高管，以追回涉嫌欺詐性轉賬的數億美元資金:金色財經報道，法庭文件顯示，加密貨幣交易所FTX起訴Sam Bankman-Fried和其他前高管，以追回涉嫌欺詐性轉賬的數億美元資金。[2023/7/21 11:08:14]

未編譯的機器代碼長這樣“反編譯開放平臺”這個概念聽起來有點拗口，簡單來講就是將二進制的機器代碼或通過合約地址逆向成人類可讀的計算機高級語言，并根據結果作出風險提示。目前提出的漏洞包括：整數數值溢出漏洞、重入攻擊漏洞、外部調用返回值未校驗漏洞、tx.origin依賴漏洞以及時間戳依賴漏洞等，用灰底的“//ISSUE：”提醒。據介紹，整數數值漏洞說明幣有無限增發風險；重入攻擊最有名，著名的DAOattack就是這個漏洞造成的，它最造成攻擊者重復調用取款函數，一直將合約賬戶中的所有代幣取走；外部調用返回值是指，智能合約在地址上執行操作的底層方法，比如：address.call()、address.callcode()、address.delegatecall()和address.send。這些底層方法不會拋出異常(throw)，只是會在遇到錯誤時返回false。在合約中調用外部合約時，應該對返回值進行判斷。如果沒有判斷，那么調用者可能會誤判交易是否成功，對于交易所造成財產損失；tx.origin依賴漏洞是指，不慎使用tx.origin進行鑒權認證有可能帶來釣魚攻擊。時間戳依賴漏洞指的是一些賭博類的Dapp使用時間戳來生成隨機數，會造成類應用結果可預測，這樣攻擊者可以直接贏得的獎勵。舉個例子，我們從以太坊上選擇一個211b合約地址，如：0x20B5c52d43a87ae8B375670d47D572681753211b，將這個合約地址用SmartContractInsight平臺“破解”，可以得到：

杰克遜·波洛克工作室與Iconic Moments合作發布NFT數字藏品:金色財經報道，杰克遜·波洛克（Jackson Pollock）工作室與數字藝術平臺Iconic Moments合作發布了數字收藏品《 Beyond the Edge 》，第一個系列包含500 個NFT，捕捉了工作室地板的四個獨特視角，每張NFT都附有實體印刷品，由Jackson Pollock工作室手工壓印和編號，單價為0.8ETH（約1,525美元）。

據悉，已故美國著名畫家杰克遜·波洛克的作品是藝術界抽象表現主義運動的代表，工作室總監Helen Harrison表示，藏品銷售收入將幫助博物館維護其最珍貴的資產之一。[2023/7/20 11:05:43]

編譯后的高級語言及風險提示SmartContractInsight平臺在提醒時用提醒風險或異常，方便判別合約安全性。我們可以看到，剛剛的合約地址反編譯后得到的代碼有整數溢出風險，也就是說，如果這是一個發幣平臺，就意味著這個幣有無限增發的風險。目前SmartContractInsight平臺免費開放，但如果對二進制合約有更詳盡的了解需求，平臺也提供人工審核部分，收部分安全費用。目前該平臺支持以太坊或基于EVM代碼的合約檢測。作為工具，操作非常簡單，但如果能根據編譯結果沉淀出一些分析結果或許更好。智能合約的安全問題一直被行業關注。此前，安全公司CertiK發布智能合約自動檢測引擎CertiKAutoScanEngine，并對Etherscan平臺進行了技術集成與大規模的通證安全檢測；評級機構RatingToken面向C端上線其智能合約查詢檢測功能，同時為B端提供智能合約實時監測功能。Trustlook是位于硅谷的移動安全解決方案提供商，多年來服務于華為、亞馬遜、高通等一線軟硬件廠商，創始人AllanZhang曾是PaloAltoNetwork的創始安全工程師，團隊目前17人，均屬研發團隊。公司于2015年完成1700萬美元A輪融資，摯信資本領投，星元資本、線性資本等跟投。我是Odaily星球日報記者遂心，加好友煩請備注姓名、單位、職務和事由。

政協委員張英：積極參與數字貨幣等國際規則和數字技術標準制定:金色財經報道，全國政協委員、上海市經濟和信息化委副主任張英在接受采訪時表示，建議對標DEPA等數字經濟規則，率先在上海自貿試驗區臨港新片區等地區，開展規則的綜合集成和壓力測試，設立高標準規則集成的數據國際合作試驗區。積極參與數據流動、數據安全、認證評估、數字貨幣等國際規則和數字技術標準制定。

在他提交的《關于釋放數據要素潛力 更好賦能高水平對外開放的提案》中，張英建議，創設面向國際數據合作的關鍵基礎設施，增強國際間連接能力與算力協同，加強區塊鏈、隱私計算等技術應用，探索“數據可用不出境”等新機制、新模式。[2023/3/6 12:43:59]

Celo生態合作項目共計融資超7700萬美元，用于支持金融包容性、互操作性和ReFi:10月28日消息，Celo宣布Celo生態合作伙伴已共計融資7730萬美元，用于支持金融包容性、互操作性和ReFi（再生金融）。

其中，ReFi項目共融資600萬美元，包括Loam（400萬美元）、impactMarket（100萬美元）、Circular Impact（100萬美元）。互操作性項目Hyperlane融資1850萬美元。DeFi平臺中，為DApp和智能合約提供數據的RedStone融資700萬美元，為新興市場企業提供融資的Jia融資430萬美元。區塊鏈工具方面，Tatum完成4150萬美元融資，MakerDojo完成150萬美元融資。（Businesswire）[2022/10/28 11:51:50]

Tags：CONDAPPDAP區塊鏈Continuum Finance區塊鏈dapp開發公司DAPEPE區塊鏈通俗易懂的講解

UNI