以太坊:以太坊合并“后时代”「形式化验证技术」如何检测合约安全？

所谓的形式化验证，简单而言就是用数学工具进行验证的方法，把代码编成数学模型，从设计到实现整个流程，通过证明手段来证明代码是完备安全的。

形式化验证作为成都链安的核心技术之一，已经帮助上千份智能合约解决安全问题。可能很多人会问，为什么人工不能检测到的问题，形式化验证可以呢？

这是因为，对于形式化验证，可以无需理解合约具体实现的细节，无需构造特定的场景，无需数据枚举；通过逻辑关系凝练出可复用的安全属性，对合约每条路径都会进行严谨的数学公式推理，自动检测每个可能的系统状态及操作，计算出可满足的解，并根据求解结果对比是否违反安全属性最终检测出每条路径下可能存在的安全问题。

韦氏评级：以太坊高Gas费用问题越来越严重，或将被竞争对手蚕食其市场份额:2月5日消息，加密货币评级机构韦氏评级（Weiss Crypto Ratings）发推表示，以太坊高Gas费用越来越严重，如果现在是基于以太坊，那么 Layer 2应该是首要任务，如果当前的ETH价格翻番而没有任何重大升级，则它可能会导致基于以太坊的DeFi的失败，因为大多数人将无法负担这些费用。Layer 2通过将多个交易捆绑在一起，在用户之间分配费用来解决该问题。如果未在接下来6个月左右的时间内推出解决以太坊费用问题的方法，许多以太坊的主要竞争对手，例如，Cardano、Polkadot，Cosmos等公司将开始推出自己的DeFi DApp，从而蚕食ETH很大的市场份额。[2021/2/5 18:58:13]

以太坊合并“后时代”，智能合约安全同样不可忽视，今天，我们为大家准备了一个以太坊生态的案例，看看下面这份合约是如何在我们的智能合约形式化验证平台“链必验”检测出漏洞的。

DTC Capital加密投资负责人：稳定币普及和DeFi崛起推动了以太坊网络发展:金色财经报道，DTC Capital加密货币投资负责人Spencer Noon表示，以太坊在现实世界的使用正在激增。Noon指出稳定币的日益普及和去中心化金融（DeFi）的崛起是推动以太坊网络发展和ETH需求的两个关键因素。根据BitInfoCharts的数据，以太坊网络的日交易量在2020年大幅上升，从1月1日的46.6万笔飙升至5月20日的85.5万笔。Noon表示，以太坊已经正式受到高净值投资者的关注。[2020/5/22]

链必验，是一款全球领先的“一键式”智能合约形式化验证平台。检测准确率高达97%以上，精确定位风险代码位置并给出修改建议，自动检测智能合约80余项的常规安全漏洞及功能逻辑缺陷。现已拥有生态用户10万+，是全球首套同时支持蚂蚁链、腾讯区块链、FISCO-BCOS、Fabric等的智能合约形式化验证平台。可以极大提高智能合约的人工审计效率，有效降低安全隐患遗漏风险。

动态 | 以太坊未确认交易66208笔:据Etherscan.io数据显示，以太坊未确认交易66208笔。当前挖矿难度2056.84 TH，交易处理能力5.8 TPS。截至目前以太坊全球均价为180.44美元，最近24小时跌幅为1.68%。[2020/2/1]

01.

准备需要验证的示例Wizard_game.sol

说明：

原合约为以太坊上真实存在的一个巫师决斗合约。为了看起来简单明了并且能够使用形式化检测验证问题，本合约根据逻辑关系只保留巫师决斗超时的处理接口；

resolveTimedOutDuel是更新处理超时情况下的巫师决斗结果的接口；

其中每个巫师有自己的决斗场和决斗能量；

若巫师1满足胜利条件，则将巫师2的决斗能量转移给巫师1，再将巫师2的决斗能量清零。

声音 | V神：以太坊应该与Facebook进行合作:据Finance Magnates 9月15日消息，在以色列特拉维夫举行的Ethereal峰会上，Joseph Lubin和V神讨论了与Facebook的加密货币Libra合作的可能性。Joseph Lubin表示：“如果有可行的钱包连接，就有可能与以太坊实现互操作性。我不认为(Libra)是以太坊一个可行的竞争对手，因为它是一个分散的(金融体系)。实际上，这对我们来说可能是一种很好的入职机制。”V神称以太坊应该与Facebook进行合作。他表示：“我认为我们应该向比我们希望的更分散的体系伸出援手。”[2019/9/16]

2.合约上传

新增项目

在“链必验”工具中创建需要检测的项目。本次检测的项目为ETH类型项目，那么根据需求点击工具左上方“新增项目”按钮，输入项目名称，选择项目类型，点击确定。

新增合约文件夹

选择刚创建好的项目，点击工具左上方的“新增合约文件夹”按钮，输入文件夹名称。

上传合约文件

选择刚创建好的文件夹，点击工具左上方的“上传”按钮，上传准备好检测的合约文件。

3.合约检测

新增项目

将待检测合约上传完成之后，选择此合约，按照合约内容输入检测参数，然后点击开始检测。

4.查看结果

待合约检测完成之后，查看检测结果，通过代码定位、错误描述、修复建议了解明确该漏洞的具体信息，然后查看代码逻辑寻找问题并进行修复。

5.结果分析

经分析，产生此漏洞的原因是在执行resolveTimedOutDuel接口更新巫师1和巫师2的决斗属性时，未考虑巫师1和巫师2相等的情况，在此场景下，巫师1的决斗能量会先翻倍，然后再清零，导致巫师1状态更新前后总的决斗能量发生了改变，所以导致了assert断言的失败。

6.问题解决

此时在resolveTimedOutDuel接口中添加一个限制条件“require(wizardId1!=wizardId2);”，确保在执行决斗属性更新时巫师1和巫师2不相等，查看是否还存在此问题。

7.漏洞检测难度人工难以察觉，随机测试难以出现这种情况

对于智能合约的验证，通常是伴随人工验证，靠自身经验不断尝试枚举各项可能不满足的输入条件，从而比对输出来判断是否存在漏洞；其存在的问题就是人工成本昂贵，测试时无法覆盖到所有的路径，测试具有一定的机械性、重复性、工作量往往较大。

而对于智能合约的另外一种验证方式-fuzzing模糊测试，虽然可以解决人工成本昂贵的问题，但是由于其没有实际执行规则机制原因，仅靠“蛮力”不断枚举各个输入，同样存在可能出现某种输入漏掉的问题，并且无法根据路径检测出一些逻辑性的漏洞。

在加密行业你想抓住下一波牛市机会你得有一个优质圈子，大家就能抱团取暖，保持洞察力。

如果只是你一个人，四顾茫然，发现一个人都没有，想在这个行业里面坚持下来其实是很难的。

想抱团取暖，或者有疑惑的，欢迎加入！

感谢阅读，喜欢的朋友可以点个赞关注哦，我们下期再见！

标签：以太坊ETHCOS以太坊币是什么币ETH钱包地址ETH挖矿app下载Etherael指什么寓意COS价格COS币

以太坊价格热门资讯