区块链安全帝国黑客大会回归 - The Trail of Bits 博客
还记得去年十二月的帝国黑客大会吗?那次我们专门致力于分享关于区块链和智能合约安全的最佳信息?让我们再次举办,并将其变成一个传统;每年十二月举办一次为期半天的迷你会议,专门聚焦于单一主题。12月12日,请加入我们在Buzzfeed纽约办公室的活动,聆听10位优秀演讲者分享他们的区块链安全知识,这个活动必将扩展你的能力。
晚餐将会提供。之后我们将在The Headless Horseman聚集,继续对话并享受一些节日欢乐。
由于活动的性质,我们将向参会者收取2.00美元的入场费。只有注册的嘉宾才能参加。
尽快预订位置。
演讲内容包括:
不安全智能合约编程语言的剖析
本次演讲剖析了Solidity:最流行的智能合约编程语言。讨论了其不安全行为的各种示例,证明即使是有经验、有能力的程序员也容易犯错。这些示例警示我们如何不创建编程语言和工具链,特别是那些被信任处理数亿美元加密货币的工具。演讲最后回顾了如何避免其中一些问题,以及我们如何使智能合约开发更加安全。
Evan Sultanik是Trail of Bits的安全工程师。
资产不安全:评估数字资产安全基础
花几分钟了解Coinbase规模面临的数字资产安全生态系统问题。这将是一次关于不安全供应链、协议白皮书与实际实施之间的差异以及其他一些如果你不注意就会咬你的问题的快速浏览。
Shamiq在Coinbase担任应用安全负责人,管理加密猫、安全工程师和开发人员。在业余时间,他喜欢吃奶酪和巧克力。
设计Gemini美元:受监管、可升级、透明的稳定币
受监管的稳定币需要重要的设计决策。当许多依赖你的合约时,你如何使其可升级?你如何管理保护底层资产的密钥?你如何完全透明地做到这一切?在这个演讲中,我们解释了Gemini美元的设计决策,并与其他可能的实现进行了比较和对比。
Brandon Arvanaghi是Gemini Trust的安全工程师。
使用Echidna和Manticore进行属性测试以确保智能合约安全
基于属性的测试是一种极其简单且强大的错误发现工具,但尽管其有效性,在智能合约开发社区中几乎闻所未闻。本次演讲将介绍基于属性测试的概念,讨论选择良好属性并彻底测试它们的策略,然后深入探讨如何将这些想法具体应用于智能合约。我们将讨论使用Manticore和Echidna进行测试,并查看这些工具在生产代码中可以找到的真实错误。
JP Smith是Trail of Bits的安全工程师。
合约升级风险和修复
智能合约设计的一个流行趋势是促进可升级合约的开发。现有的升级合约技术存在缺陷,显著增加了合约的复杂性,并最终引入错误。我们将详细分析现有的智能合约升级策略,描述我们在实践中观察到的弱点,并为需要升级的合约提供建议。
Josselin Feist是Trail of Bits的安全工程师。
链上隐私的失败
许多人,包括中本聪,认为加密货币为支付提供了隐私。实际上,加密货币是你银行账户的Twitter。更糟糕的是,当前一套基于诱饵交易的常用方法——包括coinjoin和cryptonote/Monero——提供了根本上有缺陷的隐私保护。我们哪里出错了?本次演讲涵盖如何批判性评估任何提议的支付隐私协议所提供的隐私。通过一系列思想实验,概述了对现有基于诱饵方案的三种合理攻击。这些问题显示了隐私保护的非直观性质,以及需要在现实世界威胁背景下评估协议,并使用具有正式和同行评审隐私保证的方法,如Zcash。
Ian Miers是康奈尔理工学院的博士后助理。
安全微支付协议
发送必须在区块链上确认的加密货币微支付交易在今天是不切实际的,因为交易费用可能超过发送的价值。相反,我们可以使用仅依赖区块链进行结算和争议的微支付协议,以最小化链上费用。在这个演讲中,我们将描述和比较在以太坊上构建安全微支付协议的不同方法,包括概率微支付和支付通道。此外,我们将强调在实现这些类型协议时的困难和考虑,因为更加依赖正确和及时的客户端行为以防止资金损失。
Yondon Fu是Livepeer的软件工程师和研究员。
如何构建企业级主网以太坊客户端
以太坊主网的拜占庭环境充满了挑战,对于有志发布兼容客户端的黑客来说。本次演讲重点介绍了实现一个能够轻松处理敌对事件和参与者的客户端的 trials and tribulations,这些事件和参与者构成了以太坊区块链全球计算网络的广泛P2P生态系统。将详细讨论Pantheon代码库独特的模块化性质及其对企业应用的适用性。会议将以Pantheon未来道路的简要概述结束,关注以太坊企业联盟和即将到来的更新,这些更新构成了以太坊2.0规范的大致轮廓。
S. Matthew English是PegaSys协议工程师和Pantheon核心开发人员。
简单很难:让你很棒的安全东西可用
如果区块链系统的安全假设即使失败一点点,它们提供的价值就非常小。它们也有很高的入门门槛,难以使用。但是等等,人们已经不使用安全工具了——这怎么不是所有可能世界中最糟糕的?我们将讨论信息安全历史上的一些先例,以及我们如何能够避免“只要你使用区块链上的新PGP,你的选举就没问题”,而是帮助人们构建真正以新颖方式解决长期问题的酷东西。
Patrick Nielsen和Amber Baldet是Clovyr的创始人。
不管喜不喜欢,区块链投票就在这里停留
我将谈论区块链投票应用如何受到研究投票安全的学者的严重反对,但西弗吉尼亚在初选期间在一些县使用了Voatz应用,在中期选举中几乎在全州一半地区使用,并对结果感到满意。Voatz已经与其他州进行谈判,并希望到2020年有多达20个州使用它。其他几个国家正在测试不同的区块链投票应用。
Kevin Collier是BuzzFeed News的网络安全记者,负责报道网络战、黑客、选举安全、虚假信息努力、科技公司和黑客法律。在BuzzFeed之前,Kevin在Vocativ和Daily Dot报道网络安全,并为Politico、Gizmodo、The Daily Beast和NY Mag撰稿。他是西弗吉尼亚人,住在布鲁克林。
我们期待在那里见到你!
研讨会:智能合约安全分析(12月11日)
12月11日,帝国黑客大会前一天,我们将为以太坊智能合约开发人员举办安全培训。
在这个全天的培训中,JP Smith将分享我们如何进行安全审查;不仅仅是我们的工具或技巧,而是整个方法。除了这些知识,我们还将分享我们关于评估的学派思想。太常见的是,我们遇到这样的信念:审计提供错误列表,因此能够说“我们的代码已经审计过!”(因此“我们的代码是安全的!”)。那只是部分情况。审计还应提供对总项目风险的评估、关于架构和开发生命周期的指导,以及可以交谈的人。这是参会者将带走的框架。
注册参加全天培训。
如果你喜欢这篇文章,分享它: Twitter LinkedIn GitHub Mastodon Hacker News
页面内容
- 不安全智能合约编程语言的剖析
- 资产不安全:评估数字资产安全基础
- 设计Gemini美元:受监管、可升级、透明的稳定币
- 使用Echidna和Manticore进行属性测试以确保智能合约安全
- 合约升级风险和修复
- 链上隐私的失败
- 安全微支付协议
- 如何构建企业级主网以太坊客户端
- 简单很难:让你很棒的安全东西可用
- 不管喜不喜欢,区块链投票就在这里停留
- 研讨会:智能合约安全分析(12月11日)
最近文章
- 构建安全消息传递很难:对Bitchat安全辩论的细致看法
- 使用Deptective调查你的依赖关系
- 系好安全带,Buttercup,AIxCC的评分回合正在进行中!
- 使你的智能合约成熟超越私钥风险
- Go解析器中意想不到的安全隐患
© 2025 Trail of Bits。 使用Hugo和Mainroad主题生成。