以太坊:以太坊合并“后時代”「形式化驗證技術」如何檢測合約安全？

所謂的形式化驗證，簡單而言就是用數學工具進行驗證的方法，把代碼編成數學模型，從設計到實現整個流程，通過證明手段來證明代碼是完備安全的。

形式化驗證作為成都鏈安的核心技術之一，已經幫助上千份智能合約解決安全問題。可能很多人會問，為什么人工不能檢測到的問題，形式化驗證可以呢？

這是因為，對于形式化驗證，可以無需理解合約具體實現的細節，無需構造特定的場景，無需數據枚舉；通過邏輯關系凝練出可復用的安全屬性，對合約每條路徑都會進行嚴謹的數學公式推理，自動檢測每個可能的系統狀態及操作，計算出可滿足的解，并根據求解結果對比是否違反安全屬性最終檢測出每條路徑下可能存在的安全問題。

Vitalik：未來的以太坊升級或可實現在手機上運行全節點:9月5日消息，以太坊聯合創始人Vitalk Buterin在韓國區塊鏈周期間表示，從長遠來看，我們有計劃維護完全驗證的以太坊節點，你可以在手機上運行它。

Vitalik強調了解決以太坊網絡中心化問題必須解決的六個關鍵點，并稱全節點是以太坊追求更高去中心化程度的重要組成部分。他還提到了以太坊的路線圖，其中包括使用“Verkle樹”的“無狀態客戶端”。

今日早些時候消息，Vitalik Buterin表示，節點中心化是以太坊面臨的主要挑戰之一，應通過降低和簡化節點的運行成本來解決該問題，但完美的解決方案可能需要再等10年甚至20年。他認為，以太坊整體上最緊迫的問題是實現更高水平的可擴展性。[2023/9/5 13:19:58]

以太坊合并“后時代”，智能合約安全同樣不可忽視，今天，我們為大家準備了一個以太坊生態的案例，看看下面這份合約是如何在我們的智能合約形式化驗證平臺“鏈必驗”檢測出漏洞的。

以太坊未確認交易為176,468筆:金色財經消息，據OKLink數據顯示，以太坊未確認交易176,468筆，當前全網算力為664.20TH/s，全網難度為8.88P，當前持幣地址為62,753,439個，同比增加128,115個，24h鏈上交易量為1,755,223ETH，當前平均出塊時間為13s。[2021/9/14 23:24:49]

鏈必驗，是一款全球領先的“一鍵式”智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。現已擁有生態用戶10萬+，是全球首套同時支持螞蟻鏈、騰訊區塊鏈、FISCO-BCOS、Fabric等的智能合約形式化驗證平臺。可以極大提高智能合約的人工審計效率，有效降低安全隱患遺漏風險。

以太坊2.0抵押地址余額突破100萬ETH:金色財經報道，據歐科云鏈OKLink數據顯示，截至今日13時57分，當前以太坊2.0存款合約地址已收到1000098ETH，已有31252個地址完成32ETH的抵押。

隨著抵押數量的不斷上升，抵押的年化收益率會逐漸降低。在抵押金額達到100萬ETH后，當前年化收益率約為15.7%。[2020/12/4 23:06:21]

01.

準備需要驗證的示例Wizard_game.sol

說明：

原合約為以太坊上真實存在的一個巫師決斗合約。為了看起來簡單明了并且能夠使用形式化檢測驗證問題，本合約根據邏輯關系只保留巫師決斗超時的處理接口；

resolveTimedOutDuel是更新處理超時情況下的巫師決斗結果的接口；

聲音 | 以太坊期貨或年底上線 現貨可能重蹈比特幣下跌覆轍:據Cryptonews消息，有報道稱芝加哥期權交易所或將在2018年年底推出以太坊期貨。對此，以太坊社區一些人認為，以太坊期貨的推出將有利于其被大眾認可，而且未來推出ETF的可能性會更高。但是，另一些人表示鑒于比特幣期貨推出后，比特幣現貨價格跌跌不休，以太坊可能會重蹈覆轍。據舊金山聯儲的一份報告，比特幣價格大跌跟比特幣期貨的推出直接相關。Fundstrat創始人Tomas Lee表示，以太坊期貨的推出可能會對以太坊價格產生與比特幣期貨推出類似的沖擊，不過這對比特幣而言是好事，因為可以緩解對比特幣做空的壓力。[2018/9/4]

其中每個巫師有自己的決斗場和決斗能量；

若巫師1滿足勝利條件，則將巫師2的決斗能量轉移給巫師1，再將巫師2的決斗能量清零。

2.合約上傳

新增項目

在“鏈必驗”工具中創建需要檢測的項目。本次檢測的項目為ETH類型項目，那么根據需求點擊工具左上方“新增項目”按鈕，輸入項目名稱，選擇項目類型，點擊確定。

新增合約文件夾

選擇剛創建好的項目，點擊工具左上方的“新增合約文件夾”按鈕，輸入文件夾名稱。

上傳合約文件

選擇剛創建好的文件夾，點擊工具左上方的“上傳”按鈕，上傳準備好檢測的合約文件。

3.合約檢測

新增項目

將待檢測合約上傳完成之后，選擇此合約，按照合約內容輸入檢測參數，然后點擊開始檢測。

4.查看結果

待合約檢測完成之后，查看檢測結果，通過代碼定位、錯誤描述、修復建議了解明確該漏洞的具體信息，然后查看代碼邏輯尋找問題并進行修復。

5.結果分析

經分析，產生此漏洞的原因是在執行resolveTimedOutDuel接口更新巫師1和巫師2的決斗屬性時，未考慮巫師1和巫師2相等的情況，在此場景下，巫師1的決斗能量會先翻倍，然后再清零，導致巫師1狀態更新前后總的決斗能量發生了改變，所以導致了assert斷言的失敗。

6.問題解決

此時在resolveTimedOutDuel接口中添加一個限制條件“require(wizardId1!=wizardId2);”，確保在執行決斗屬性更新時巫師1和巫師2不相等，查看是否還存在此問題。

7.漏洞檢測難度人工難以察覺，隨機測試難以出現這種情況

對于智能合約的驗證，通常是伴隨人工驗證，靠自身經驗不斷嘗試枚舉各項可能不滿足的輸入條件，從而比對輸出來判斷是否存在漏洞；其存在的問題就是人工成本昂貴，測試時無法覆蓋到所有的路徑，測試具有一定的機械性、重復性、工作量往往較大。

而對于智能合約的另外一種驗證方式-fuzzing模糊測試，雖然可以解決人工成本昂貴的問題，但是由于其沒有實際執行規則機制原因，僅靠“蠻力”不斷枚舉各個輸入，同樣存在可能出現某種輸入漏掉的問題，并且無法根據路徑檢測出一些邏輯性的漏洞。

在加密行業你想抓住下一波牛市機會你得有一個優質圈子，大家就能抱團取暖，保持洞察力。

如果只是你一個人，四顧茫然，發現一個人都沒有，想在這個行業里面堅持下來其實是很難的。

想抱團取暖，或者有疑惑的，歡迎加入！

感謝閱讀，喜歡的朋友可以點個贊關注哦，我們下期再見！

Tags：以太坊ETHCOS以太坊幣是什么幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意COS價格COS幣

狗狗幣最新價格