以太坊智能合约安全攻防实战:Empire Hacking技术研讨会精华解析
2017年12月12日,超过150名参与者参加了2017年最后一届Empire Hacking技术交流会,学习如何编写和攻破安全的智能合约。感谢所有参会者、出色的演讲者以及Datadog为本次活动提供场地支持。
观看演讲视频回放
我们坚信技术社区应该分享知识,因此特别发布本次活动的录制视频,希望这些资源对您有所帮助。
智能合约安全发展简史
Consensys Diligence的Jon Maurelian从安全角度回顾了以太坊的过去、现在和未来。
技术要点:
- 以太坊被构想为全球分布式共享计算机,Solidity等高级语言使开发者能够编写智能合约
- 这个允许任何人执行代码的共享计算机存在诸多固有安全问题:委托调用、重入攻击等以太坊特性已在公链上被利用造成重大盗窃事件
- 未来令人兴奋的发展包括Viper等更安全的语言、zk-SNARKs实现的链上隐私承诺,以及Manticore和KEVM等安全工具
智能合约CTF实战指南
Trail of Bits的Sophia D’Antoine探讨了近期包含Solidity和以太坊挑战的夺旗赛(CTF),以及利用这些漏洞所需的工具。
技术要点:
- CTF竞赛已开始包含以太坊挑战,如需搭建自己的以太坊CTF环境,可参考Sophia在CSAW 2017中的脚本
- 熟悉Trail of Bits的项目,如Manticore、Ethersplay和Not So Smart Contracts,以学习以太坊安全知识并参与CTF竞赛
- 整数溢出和重入攻击是挑战中常见的漏洞类型,可通过研究往届比赛的write-up学习如何发现和利用这些漏洞
区块链自动漏洞发现技术
Trail of Bits的Mark Mossberg讲解了使用Manticore进行EVM字节码的实用符号执行方法。
技术要点:
- 符号执行是一种可实现高代码覆盖率的程序分析技术,已被用于创建有效的自动化漏洞发现系统
- 应用于以太坊时,符号执行可自动发现合约中的函数,生成触发合约状态的交易,并检查失败状态
- Manticore作为开源程序分析工具,使用符号执行技术分析EVM智能合约
用区块链技术解决信息安全需求
Paul Makowski介绍了即将推出的网络安全导向的以太坊代币PolySwarm,并解释了其如何调整激励机制并解决威胁情报行业的缺陷。
技术要点:
- 当前威胁情报市场的经济模式导致检测能力大量重叠,造成覆盖范围有限并使企业面临创新性威胁
- 以太坊智能合约为智能化的程序化市场设计提供了分布式平台,在不成为中间人的情况下修复威胁情报领域的激励机制
- PolySwarm通过降低参与未来威胁情报社区的门槛来释放潜在的安全专业知识,将这些专业知识导向更大的利益,让更多安全专家为所有人创建更好的集体防御
了解更多Empire Hacking信息
- 访问我们的网站
- 申请加入我们的Meetup
- 加入我们的Slack社区
- 在Twitter上关注@EmpireHacking
让我们保护您的智能合约
我们已成为行业最受信任的智能合约及其相关技术审计、工具和最佳实践提供商之一。我们已保护了代币发行、去中心化应用和整个区块链平台的安全。
如需帮助,请联系我们。
如果您喜欢这篇文章,请分享至: Twitter | LinkedIn | GitHub | Mastodon | Hacker News