区块链:区块链安全100问 | 第七篇：智能合约审计流程及审计内容

作者：

时间：1900/1/1 0:00:00

零时科技区块链安全100问正式上线，以通俗易懂的语言形式为大家讲解区块链行业知识，以及区块链生态应用存在的安全问题，让更多人了解区块链及区块链安全。

前言

当前区块链技术和应用尚处于快速发展的初级阶段，面临的安全风险种类繁多，从区块链生态应用的安全,到智能合约安全,共识机制安全和底层基础组件安全,安全问题分布广泛且危险性高,对生态体系,安全审计,技术架构,隐私数据保护和基础设施的全局发展提出了全新的考验。

物联网区块链平台IoTeX主网v1.2正式上线:据官方消息，主网v1.2“Babel通天塔”的代码将于北美时间5月24日(周五)正式节点升级，IoTeX网络也即将迎来一次重大的优化升级，包括以太坊工具+EVM整合方案正式上线。IoTeX测试网上“通天塔”上线活动也将同步开启。活动详情见官网。[2021/5/16 22:07:56]

PART01-智能合约审计流程介绍

为了检查合约的安全性，一般会测试多种攻击，模拟多种攻击场景，通过标准审计流程进行安全审查，以确保合约是否安全。

正常审计流程应包括前期应用审计的需求沟通，比如审计合约内容、审计时间、审计预算等；确定审计需求后需要签订协议、达成共识；然后安全团队开始安全审计，以及审计报告的输出，开发团队针对报告中的安全问题进行修复，安全团队协助修改后的复测，确保安全问题已修复，提升合约的安全性。

东方电气董事长：正制定数字化工厂建设规划，打造区块链应用:全国政协委员、东方电气董事长邹磊表示，目前，东方电气集团正在酝酿制定数字化工厂建设规划，打造AI、5G及区块链应用场景，挖掘制造过程数据、产品质量数据、产品运行数据，逐步实现产品设计、工艺开发、健康运维的统一管理和展示，打造虚拟完美模型与精益产品制造深度融合的个性化研制体系。（中国证券报）[2020/5/26]

动态 | “区块链发展渐趋理性”入选人民网评选2018年中国互联网发展十大动向:据人民网报道，“区块链发展渐趋理性”入选2018年中国互联网发展十大动向。“中国互联网发展十大动向”由人民网研究院发布。评选对象为当年中国互联网领域具有影响力、富有前瞻意义的事件、现象与趋势。[2018/12/27]

智能合约代码审计方式：

-了解智能合约协议的逻辑运转流程

-分析智能合约逻辑设计规范和设计目的

-工具测试智能合约存在的安全风险

-测试针对智能合约的常见攻击手法

-根据项目流程进行模拟算法漏洞测试

动态 | 支付宝用区块链等技术防范金融风险:据财经网消息，今天，支付宝全球金融安全创新中心在成都揭牌成立。在金融安全方面，“蚂蚁风险大脑”是蚂蚁金服结合自身10多年的风险攻防经验，利用人工智能、云计算、区块链技术，用科技防范金融风险。它探索性地引入区块链技术，将相关金融行为“上链”，多方同时在线并形成协同机制，对风险进行准实时识别和穿透式监管。[2018/10/26]

PART02-智能合约常规漏洞有哪些？

1）以太坊智能合约

重入攻击浮点数和数值精度非预期的Ether整数溢出重入攻击浮点数和数值精度默认可见性Tx.origin身份验证错误的构造函数未验证返回值不安全的随机数时间戳依赖交易顺序依赖Delegatecall调用Call调用拒绝服务逻辑设计缺陷假充值漏洞短地址攻击未初始化的存储指针代币增发冻结账户绕过合约Gas优化变量覆盖恶意后门2）EOS合约

权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞整数溢出漏洞权限校验漏洞转账通知伪造漏洞Apply函数权限校验漏洞弱随机数种子漏洞冻结账户绕过漏洞拒绝服务漏洞代码逻辑漏洞假币攻击回滚攻击重放攻击恶意后门