使用Manticore和符号执行发现智能合约漏洞
在该实战工作坊中,Josselin Feist演示了如何运用开源符号执行引擎Manticore。Manticore不仅能让开发者即时发现代码中的漏洞,还能验证代码的正确性。Josselin带领120名参会者完成了系列Manticore实操练习,使每位参与者掌握了帮助确保智能合约符合设计规范的形式化方法。
区块链尸检
在这场闪电演讲中,Jay Little恢复并分析了3万个自毁合约,从中识别出潜在的攻击行为。尽管以太坊主网已创建200万份合约,但极少有价值合约被销毁。这些高价值交易难以追踪,多数无法通过完全同步的以太坊节点获取。为实现这一目标,Jay开发了新型工具,可重新处理区块链账本数据、重建带状态合约,并通过交易追踪与启发式方法分析可疑交易。
安全现状专题研讨
在本场专家讨论中,Kevin Seagraves主持了关于以太坊当前安全态势的深度对话:过去一年以太坊安全的最大变化是什么?智能合约安全与传统系统安全有何不同?应如何客观看待漏洞赏金计划的实际效用?聆听专家组的独到见解:
安全培训
在为期整天的培训中,JP分享了Trail of Bits的安全评审方法论——不仅是工具技巧,更是完整的评估体系。除技术知识外,我们更致力于传递安全评估的思维范式。常见误区是认为审计仅能生成漏洞清单,从而宣称“代码已通过审计”(即“代码绝对安全”)。这仅是冰山一角,审计更应提供项目整体风险评估、架构与开发生命周期指导,以及持续的技术支持通道。
我们将于12月11日在纽约重开此培训。立即预订席位
Devcon惊喜彩蛋
Evan Sultanik未亲临Devcon,而是留守研发并编写了以太坊客户端模糊测试工具Etheno。该工具可自动检测全球以太坊客户端间的行为差异,例如10月在Ropsten网络曝出的兼容性问题。Etheno仅用两分钟就自动识别出该相同漏洞。
我们很高兴参与Devcon4,并期待在未来活动中深度参与。
若喜欢本文,请分享至:
Twitter
LinkedIn
GitHub
Mastodon
Hacker News
页面内容导航
使用Manticore和符号执行发现智能合约漏洞
区块链尸检
安全现状专题研讨
安全培训
Devcon惊喜彩蛋
近期文章
使用Deptective调查依赖项
做好准备!AIxCC评分轮次正在进行中
让智能合约超越私钥风险成熟化
Go语言解析器中意想不到的安全隐患
首批DKL审核经验总结
Silence Laboratories推出的23个库
© 2025 Trail of Bits.
基于Hugo与Mainroad主题生成。