以太坊Empire Hacking技术沙龙视频全记录
2017年12月12日,超过150名参与者参加了2017年最后一场Empire Hacking技术沙龙,学习如何编写和攻防安全的智能合约。感谢所有到场者、优秀的演讲者以及Datadog为本次活动提供场地支持。
重温技术演讲
我们坚信技术社区应当共享知识,因此发布本次活动的完整录像,希望这些内容对您有所帮助。
智能合约安全演进史
Consensys Diligence的Jon Maurelian从安全视角回顾了以太坊的过去、现在和未来:
技术要点:
- 以太坊被设计为全球分布式共享计算机,Solidity等高级语言使开发者能够编写智能合约
- 这种允许任何人执行代码的共享计算机存在固有安全问题:委托调用、重入攻击等以太坊特性已在公链上造成重大盗币事件
- 未来值得期待的发展包括:Viper等更安全的语言、zk-SNARKs实现的链上隐私保障,以及Manticore和KEVM等安全工具
智能合约CTF实战指南
Trail of Bits的Sophia D’Antoine探讨了近期包含Solidity和以太坊挑战的CTF竞赛,以及利用这些漏洞所需的工具:
技术要点:
- CTF竞赛已开始包含以太坊挑战,可参考Sophia在CSAW 2017中的脚本搭建自己的以太坊CTF环境
- 熟悉Trail of Bits的项目:Manticore、Ethersplay和Not So Smart Contracts,以学习以太坊安全并参与CTF竞赛
- 整数溢出和重入攻击是挑战中常见的漏洞类型,可通过分析往届竞赛的write-up学习发现和利用方法
区块链自动化漏洞发现
Trail of Bits的Mark Mossberg讲解了使用Manticore进行EVM字节码的实用符号执行:
技术要点:
- 符号执行是一种可实现高代码覆盖率的程序分析技术,已用于构建高效的自动化漏洞发现系统
- 在以太坊应用中,符号执行可自动发现合约功能、生成触发合约状态的交易,并检查失败状态
- Manticore作为开源程序分析工具,使用符号执行技术分析EVM智能合约
用区块链技术满足信息安全需求
Paul Makowski介绍了即将推出的网络安全导向型以太坊代币PolySwarm,并解释其如何调整激励机制并解决威胁情报行业的缺陷:
技术要点:
- 当前威胁情报市场的经济模式导致检测能力大量重叠,覆盖范围有限并使企业面临创新性威胁
- 以太坊智能合约为智能化的程序化市场设计提供了分布式平台,可在不成为中介的情况下修正威胁情报领域的激励机制
- PolySwarm通过降低参与未来威胁情报社区的门槛来释放潜在的安全专业知识,引导这些专业知识服务于更大利益,让更多安全专家为所有人构建更好的集体防御
了解更多Empire Hacking信息
访问我们的网站 申请加入我们的Meetup 加入我们的Slack社区 在Twitter上关注@EmpireHacking
让我们为您保护智能合约
我们已成为行业最受信任的智能合约及其相关技术审计、工具和最佳实践提供商之一。我们已保障了代币发行、去中心化应用和整个区块链平台的安全。
如需帮助,请联系我们。
如果您喜欢本文,请分享至: Twitter LinkedIn GitHub Mastodon Hacker News