以太坊智能合约安全攻防实战:从漏洞挖掘到自动化检测
活动回顾
2017年12月12日,超过150名参与者参加了2017年最后一期Empire Hacking技术沙龙,学习如何编写和攻破安全的智能合约。感谢所有到场人员、优秀的演讲者以及Datadog提供场地支持。
视频回看
我们坚信社区应该分享所能分享的知识。因此我们发布本次活动录像,希望对你有所帮助。
智能合约安全简史
Consensys Diligence的Jon Maurelian以安全视角回顾了以太坊的过去、现在和未来。
核心要点:
- 以太坊被设想为全球分布式共享计算机,Solidity等高级语言使开发者能够编写智能合约
- 这个任何人都可以执行代码的共享计算机存在诸多固有安全问题:委托调用、重入攻击等以太坊特性已在公链上被利用造成重大盗窃事件
- 最令人期待的发展包括Viper等更安全的语言、zk-SNARKs实现的链上隐私承诺,以及Manticore和KEVM等安全工具
智能合约CTF实战指南
Trail of Bits的Sophia D’Antoine讨论了最近以Solidity和以太坊挑战为特色的夺旗赛(CTF),以及利用这些漏洞所需的工具。
核心要点:
- CTF竞赛已开始包含以太坊挑战,如需搭建自己的以太坊CTF环境,可参考Sophia在CSAW 2017中的脚本
- 熟悉Trail of Bits的项目,如Manticore、Ethersplay和Not So Smart Contracts,以学习以太坊安全知识并参与CTF竞赛
- 整数溢出和重入攻击是挑战中常见的漏洞类型,可通过以往比赛的解题报告学习如何发现和利用这些漏洞
区块链自动化漏洞发现
Trail of Bits的Mark Mossberg讲解了使用Manticore进行EVM字节码的实用符号执行。
核心要点:
- 符号执行是一种可实现高代码覆盖率的程序分析技术,已被用于创建有效的自动化漏洞发现系统
- 应用于以太坊时,符号执行可自动发现合约中的函数、生成触发合约状态的交易,并检查失败状态
- Manticore是一个开源程序分析工具,使用符号执行来分析EVM智能合约
用区块链技术满足信息安全需求
Paul Makowski介绍了即将推出的以网络安全为重点的以太坊代币PolySwarm,并解释了其如何调整激励机制并解决威胁情报行业的缺陷。
核心要点:
- 当前威胁情报市场的经济模式导致检测能力大量重叠,造成覆盖范围有限并使企业面临创新性威胁
- 以太坊智能合约为智能化的编程市场设计提供了分布式平台,在不成为中间人的情况下修复了威胁情报领域的激励机制
- PolySwarm通过消除参与未来威胁情报社区的障碍来释放潜在的安全专业知识,将这些专业知识导向更大的利益,让更多安全专家为所有人创造更好的集体防御
了解更多Empire Hacking信息
- 访问我们的网站
- 申请加入我们的Meetup
- 加入我们的Slack社区
- 在Twitter上关注@EmpireHacking
让我们保护您的智能合约
我们已成为行业最受信任的智能合约及其相关技术审计、工具和最佳实践提供商之一。我们已保障了代币发行、去中心化应用和整个区块链平台的安全。
如需帮助,请联系我们。
如果您喜欢这篇文章,请分享至: Twitter、LinkedIn、GitHub、Mastodon、Hacker News