如果你對區塊鏈技術感興趣的話,可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如,2016 年臭名昭著的 DAO 攻擊事件,攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊,發生于 2022 年 4 月 17 日,造成 1.82 億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞,但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中,我們會解釋程序分析是什么,以及它如何幫助在部署前捕獲安全漏洞。
程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式,動態和靜態。動態程序分析的目標是通過執行程序來檢測問題,而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而,在這些技術之中,只有靜態分析能夠確保程序中不存在漏洞。相反,不同于靜態分析,動態分析能證明問題的存在,它并不能夠證明漏洞并不存在。
Maker和NEAR Protocol或存在安全問題,以太坊核心開發者詢問用于報告的郵箱地址:9月8日消息,以太坊核心開發者、以太坊客戶端Geth開發者Péter Szilágyi在推特詢問,是否有人知道Maker和NEAR Protocol用于報告安全問題的郵箱地址。[2021/9/8 23:09:15]
乍一看,靜態分析聽起來似乎很神秘:表面看來,靜態分析似乎違反了一個被總結為萊斯定理「Rice's theorem」的基本原則,該定理聲稱程序的每一個非平凡性質都是不可判定的。在此,語義屬性是關于程序行為的屬性(與語法屬性不同),而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是,安全漏洞的存在是非平凡性質的一個典型例子。因此,關于「這個程序是否存在安全漏洞」這一問題,萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。
杜均:當前加密資產市場存在兩大問題:合規問題與用戶資產安全問題:新加坡時間12月6日,火幣聯合創始人杜均受邀出席2020硅谷高創會,在“爐邊對話:顛覆 VS 融合,人工智能如何通過區塊鏈技術改變傳統金融業”圓桌討論中,杜均表示當前加密資產市場主要存在兩大問題:合規問題和用戶資產安全問題。
杜均認為,加密資產交易平臺需要通過傳統的金融機構或信托機構來解決用戶資產安全問題,這將是未來加密貨幣市場發展的一大趨勢,火幣在未來很長一段時間內會朝著這個方向努力,加快全球合規化進程,爭取在更多國家和地區獲得數字資產交易合規牌照,以此來保證用戶的資產安全。[2020/12/6 14:16:10]
那么,靜態分析的可行性源自哪里呢?答案藏于以下的觀察:沒錯,沒有一個算法能夠準確地給出是或否,但可以有一個算法在程序有安全漏洞時總是會回答「是」,在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說,只要我們愿意容忍一些誤報,我們就可以繞過賴斯定理和不可判定性。
EOS FORCE回應該安全問題并提供建議:據EOS FORCE今天回應 EOS 90S競選節點提出的一個安全顧慮:官方不啟動主網,可能會有多個社區同時啟動EOS主網,當用戶導入其中一個惡意主網,可能導致私鑰被盜取。EOS FORCE撰文詳細解釋了多條主網映射為什么會存在安全問題,尤其是用戶需要映射多條主鏈,可能會有惡意主鏈到去私鑰。EOS FORCE提出了解決方案,建議EOS轉入交易所,由交易所在各條主鏈上做多次映射,并且對各個鏈錢包的做專業的評估。同時交易所可以只進行中心化交易,等鏈穩定和錢包安全后再進行激活進而支持充提現,這樣更為安全穩妥。IMEOS提醒,在多條主鏈啟動,用戶也可以獲得多條主鏈的代幣,相當于現在的EOS token未來可以領取多份主網的EOS coin。[2018/5/22]
讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說,不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合,如下圖所示:
鏈英區塊鏈CTO解旻:中心化交易所最大的問題是安全問題:在由sharex基金會主辦,GBLS、COINCLUB協辦的《區動世界 鏈接未來-區塊鏈應用項目分享會》上,鏈英區塊鏈CTO解旻分享了區塊鏈交易所的現狀與未來,解旻認為,目前交易所最大的問題是中心化服務所帶來的安全問題;同時,對于新交易所而言,TOP10的交易所日交易量已經達到1000億,流量十分集中。解總認為,隨著DAPP的落地應用,其應用所帶來的價值將凸顯;同時,從技術層面來說,分布式跨鏈是下一代交易所的核心技術,只有實現了分布式跨鏈,每一筆交易才會記錄在鏈上。[2018/5/5]
此處,藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集,紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性,永遠沒有一個算法能夠準確表明藍色區域到底是什么,但是我們能設計一個算法以系統性的方式過近似這個藍色區域,如上面常規綠色區域所示。只要綠色和紅色的交集為空,我們就有證據證明程序沒有做壞事。然而,如果我們的過近似不夠不準確,可能會使得紅色區域重疊,即使藍色和紅色區域的交集依舊為空,如下圖所示:
這種情況會導致所謂的「誤報」,由于分析與真實問題不相應而報告的虛假錯誤。一般而言,靜態分析的圣杯是構造過近似,即 (1)過近似足夠準確因此我們在實際中不會獲得很誤報 (2)過近似的計算足夠有效率,因此分析可擴展到我們所關心的現實世界的程序。
附帶說明一下,還可以設計靜態分析算法來近似如下所示的程序行為:
在此情況下,綠色區域(通過靜態分析計算)包含在藍色區域內(表示實際狀態),和另一種方式正好相反。這種分析是不可靠的,意味著可能會漏掉真正的程序錯誤:正如我們在上圖所看到的那樣,綠色和紅色的交集為空,因此即使程序真的存在漏洞,分析也不會報告問題。這會導致所謂的假陰性,真正的漏洞被靜態分析給遺漏了。
大體來說,如果我們想獲得可證明的安全性,我們會想要可靠的從來不會有誤報的靜態分析器,同時還需要足夠精確,在實踐時不會報告太多誤報。然而,好消息是,幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文,我們會更詳細地介紹靜態分析器具體是如何運作的!
程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術,包括區塊鏈應用程序。此外,可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。
撰文:Veridise
編譯:CCC
Tags:EOS區塊鏈FORCEORCeos幣為什么漲不起來有人靠區塊鏈4天就掙了30萬塊錢Force For Fast Tokenorc幣最新消息
社交,指社會上人與人的交際往來,是人們運用一定的工具傳遞信息、交流思想,以達到某種目的的社會活動。社交必不可缺,其方式也在不斷變化.
1900/1/1 0:00:00借款和貸款是DeFi的兩個重要部分,但它們一直缺少一個有效的操作憑證:去中心化的信用評級。貸款和借款的概念與時間本身一樣古老.
1900/1/1 0:00:00富達投資公司(Fidelity)將允許投資人在其401(k)退休帳戶存入比特幣,今年晚些時候,使用富達管理其退休計劃的2.3萬家公司可以選擇將比特幣存入退休儲蓄賬戶,它將允許員工接觸比特幣.
1900/1/1 0:00:00元宇宙(Metaverse)敘事作為人類想象力的天花板,它是由人類利用各種科技手段創造出來的與現實宇宙映射與交互的虛擬宇宙,而它自然會是包羅萬象的,在我看來.
1900/1/1 0:00:00對NFT玩家而言,獲取NFT項目的鑄造價格、銷量、地板價、平均價格等信息至關重要。因此,用于跟蹤NFT項目的分析工具也必不可少。今天,研究員就給大家介紹幾款值得關注的NFT跟蹤與分析工具.
1900/1/1 0:00:00公鏈大戰之后,市場已形成以以太坊為首多鏈并存的格局,鏈與鏈之間的資產轉移、智能合約的跨鏈交互已成為鏈上活動的日常,作為實現區塊鏈之間信息互通的底層基礎設施,跨鏈工具也成為熱門產品.
1900/1/1 0:00:00