Trail of Bits @ Devcon IV 回顾

我们想要弥补错过前三届Devcons的遗憾，因此通过多场演讲、一个专题讨论和两次培训参与了今年的活动。对于未能亲临现场的各位，我们在此总结我们的贡献。期待明年与您相见。

使用Manticore和符号执行发现智能合约漏洞

在这个工作坊中，Josselin Feist展示了如何使用我们开源的符号执行引擎Manticore。Manticore不仅能让开发者立即发现代码中的错误，还能证明其代码的正确性。Josselin带领120名参与者完成了各种Manticore实践练习。每个人都掌握了实用的形式化方法，这些方法将帮助他们确保智能合约符合规范。

获取工作坊幻灯片和练习材料

“我们在@EFDevcon的智能合约安全 workshop 开始了，现场座无虚席！至少120人正在学习使用符号执行验证程序。在家跟随学习：https://t.co/l8xa47URen” — Trail of Bits (@trailofbits) 2018年10月31日

“在@trailofbits #devcon4 workshop 中使用manticore进行智能合约漏洞挖掘 https://t.co/wziLNK0djH 太棒了！” — Valer (@blankorized) 2018年10月31日

区块链尸体分析

在这个闪电演讲中，Jay Little恢复并分析了30,000个自毁合约，并识别出其中可能隐藏的攻击。以太坊主网上已创建200万个合约，但很少有持有价值的合约被销毁。这些高价值交易很难发现；许多交易在完全同步的以太坊节点上不可用。为了实现这一壮举，Jay创建了新工具，重新处理区块链账本数据，重建带状态的合约，并使用跟踪和启发式方法分析可疑交易。

过滤部署错误、DoS攻击和垃圾信息以识别可疑自毁行为

获取Jay的幻灯片

安全现状

在这个专题讨论中，Kevin Seagraves主持了关于以太坊当前安全态势的讨论。去年以太坊安全最大的变化是什么？保护智能合约与传统系统有何不同？我们应该如何看待漏洞赏金的效用？听听专家小组的见解：

“@dguido 谈到对智能合约安全漏洞赏金的过度依赖——你需要合格的人员告诉你代码覆盖的广度、方法类型，并评估系统设计——而不仅仅是漏洞列表。之后当然可以设置赏金。#devcon4” — Amber ☘️ (@AmberBaldet) 2018年11月1日

“#DevconIV安全小组讨论 ‘漏洞赏金的效果远不如人们想象的那么好’ 👏🏼👏🏼👏🏼 #devcon4” — Cornelius Gouws (@CorneliusIII) 2018年11月1日

安全培训

在这个为期一天的培训中，JP分享了如何进行安全评审；不仅仅是我们的工具或技巧，而是整个方法。除了这些知识，我们还试图传达我们关于评估的思维方式。我们经常遇到这样的观点：审计提供漏洞列表，从而能够说"我们的代码已经过审计！"（因此"我们的代码是安全的！"）。但这只是部分情况。审计还应提供对项目总体风险的评估、架构和开发生命周期的指导，以及可以咨询的对象。

我们将于12月11日在纽约再次举办培训。请预留座位。

“今天在布拉格参加@trailofbits的@japesinator的智能合约安全 workshop，从阿姆斯特丹飞过来绝对值得😎 #ethereum #security #smartcontract” — rmi7.eth ⛷ (@rmi) 2018年11月3日

Devcon惊喜

Evan Sultanik没有去Devcon，而是留在家里编写了一个以太坊客户端模糊测试器。Etheno自动寻找全球以太坊客户端之间的差异，就像10月份在Ropsten上出现的那种。Etheno在两分钟内自动识别出相同的错误。

我们很高兴参加了Devcon4，并期待在未来活动中更多地参与。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News