区块链安全帝国黑客大会回归:深度解析智能合约与加密技术

本文详细介绍了2018年帝国黑客大会的区块链安全专题,涵盖智能合约编程语言漏洞分析、数字资产安全评估、可升级合约设计、隐私保护失败案例以及企业级以太坊客户端开发等核心技术议题。

区块链安全帝国黑客大会回归 - The Trail of Bits博客

还记得去年十二月的帝国黑客大会吗?那次我们专门致力于分享关于区块链和智能合约安全的最佳信息?让我们再来一次,并使其成为传统;每年十二月举办一次为期半天的迷你会议,专门聚焦于单一主题。12月12日,请加入我们在Buzzfeed纽约办公室的活动,聆听10位优秀演讲者分享他们在区块链安全方面的知识,这个活动必将扩展您的能力。

晚餐将会提供。之后我们将在The Headless Horseman聚集,继续交流并享受一些节日气氛。

由于活动的性质,我们将向参会者收取2.00美元的入场费。只有注册的嘉宾才能参加。

请尽快预订位置。

演讲内容包括:

不安全智能合约编程语言的剖析

本次演讲剖析了Solidity:最流行的智能合约编程语言。讨论了其不安全行为的各种示例,证明即使是有经验、有能力的程序员也容易犯错。这些示例警示我们如何不创建编程语言和工具链,特别是那些需要信任数亿美元加密货币的工具。演讲最后回顾了如何避免其中一些问题,以及我们如何使智能合约开发更加安全。

Evan Sultanik是Trail of Bits的安全工程师。

资产不安全:评估数字资产安全基础

花几分钟了解Coinbase规模面临的数字资产安全生态系统问题。这将是一次关于不安全供应链、协议白皮书与实际实施之间的差异以及其他一些如果不注意就会咬您的问题的快速浏览。

Shamiq在Coinbase担任应用安全主管,负责管理加密猫、安全工程师和开发人员。在业余时间,他喜欢吃奶酪和巧克力。

设计Gemini美元:一种受监管、可升级、透明的稳定币

受监管的稳定币需要重要的设计决策。当许多依赖您的合约时,如何使其可升级?如何管理保护底层资产的密钥?如何完全透明地做到这一切?在本次演讲中,我们解释了Gemini美元的设计决策,并与其他可能的实施进行了比较和对比。

Brandon Arvanaghi是Gemini Trust的安全工程师。

使用Echidna和Manticore进行属性测试以保护智能合约安全

基于属性的测试是一种极其简单且强大的错误发现工具,但尽管其有效性,在智能合约开发社区中几乎闻所未闻。本次演讲将介绍基于属性测试的概念,讨论选择良好属性并彻底测试它们的策略,然后深入探讨如何将这些想法具体应用于智能合约。我们将讨论使用Manticore和Echidna进行测试,并查看这些工具在生产代码中可以找到的实际错误。

JP Smith是Trail of Bits的安全工程师。

合约升级风险和修复

智能合约设计的一个流行趋势是促进可升级合约的开发。现有的升级合约技术存在缺陷,显著增加了合约的复杂性,并最终引入错误。我们将详细分析现有的智能合约升级策略,描述我们在实践中观察到的弱点,并为需要升级的合约提供建议。

Josselin Feist是Trail of Bits的安全工程师。

链上隐私的失败

许多人,包括中本聪,认为加密货币为支付提供了隐私。实际上,加密货币是您银行账户的Twitter。更糟糕的是,当前一系列基于诱饵交易的常用方法——包括coinjoin和cryptonote/Monero——提供了根本上有缺陷的隐私保护。我们哪里出错了?本次演讲涵盖了如何批判性评估任何提议的支付隐私协议所提供的隐私。通过一系列思想实验,概述了对现有基于诱饵方案的三种合理攻击。这些问题显示了隐私保护的非直观性质,以及需要在现实世界威胁背景下评估协议,并使用具有正式和同行评审隐私保证的方法(如Zcash)的必要性。

Ian Miers是康奈尔理工学院的博士后助理。

安全微支付协议

发送必须在区块链上确认的加密货币微支付交易在今天是不切实际的,因为交易费用可能超过发送的价值。相反,我们可以使用仅依赖区块链进行结算和争议解决的微支付协议,以最小化链上费用。在本次演讲中,我们将描述和比较在以太坊上构建安全微支付协议的不同方法,包括概率微支付和支付通道。此外,我们将强调在实施这些类型协议时面临的困难,考虑到对正确和及时客户端行为的依赖增加,以防止资金损失。

Yondon Fu是Livepeer的软件工程师和研究员。

如何构建企业级主网以太坊客户端

以太坊主网的拜占庭环境充满了挑战,对于寻求发布兼容客户端的 aspiring hackers 来说。本次演讲重点介绍了实施一个能够轻松处理敌对事件和参与者的客户端的 trials and tribulations,这些事件和参与者构成了以太坊区块链全球计算网络的广泛P2P生态系统。将详细讨论Pantheon代码库的独特模块化性质及其对企业应用的适用性。会议将以简要概述Pantheon的未来发展路线结束,重点关注以太坊企业联盟和即将到来的更新,这些更新构成了以太坊2.0规范的大致轮廓。

S. Matthew English是PegaSys协议工程师和Pantheon核心开发人员。

简单很难:让您的出色安全工具可用

如果区块链系统的安全假设即使失败一点点,它们提供的价值就非常有限。它们还具有高入门门槛且难以使用。但是等等,人们已经不使用安全工具了——这怎么不是所有可能世界中最糟糕的?我们将讨论信息安全历史上的一些先例,以及我们如何能够避免“只要您在区块链上使用新PGP,您的选举就没问题”,转而帮助人们构建真正以新颖方式解决长期问题的酷东西。

Patrick Nielsen和Amber Baldet是Clovyr的创始人。

不管喜不喜欢,区块链投票已经存在

我将讨论区块链投票应用如何受到研究投票安全的学者的严重反对,但西弗吉尼亚州在初选期间在一些县使用了Voatz应用,在中期选举中几乎在全州一半地区使用,并对结果感到满意。Voatz已经与其他州进行谈判,并希望到2020年有多达20个州使用它。其他几个国家正在测试不同的区块链投票应用。

Kevin Collier是BuzzFeed News的网络安全记者,负责报道网络战、黑客、选举安全、虚假信息努力、科技公司和黑客法律。在加入BuzzFeed之前,Kevin在Vocativ和Daily Dot报道网络安全,并为Politico、Gizmodo、The Daily Beast和NY Mag撰稿。他是西弗吉尼亚州人,现居布鲁克林。

我们期待在那里见到您!

研讨会:智能合约安全分析(12月11日)

12月11日,帝国黑客大会前一天,我们将为以太坊智能合约开发人员举办安全培训。

在这个全天的培训中,JP Smith将分享我们如何进行安全审查;不仅仅是我们的工具或技巧,而是整个方法。除了这些知识,我们还将分享我们关于评估的学派思想。太常见的是,我们遇到这样的信念:审计提供错误列表,因此能够说“我们的代码已经审计过!”(因此“我们的代码是安全的!”)。那只是部分情况。审计还应提供对总项目风险的评估、关于架构和开发生命周期的指导,以及可以交谈的人。这是参会者将带走的框架。

注册参加全天培训。

如果您喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

  • 不安全智能合约编程语言的剖析
  • 资产不安全:评估数字资产安全基础
  • 设计Gemini美元:一种受监管、可升级、透明的稳定币
  • 使用Echidna和Manticore进行属性测试以保护智能合约安全
  • 合约升级风险和修复
  • 链上隐私的失败
  • 安全微支付协议
  • 如何构建企业级主网以太坊客户端
  • 简单很难:让您的出色安全工具可用
  • 不管喜不喜欢,区块链投票已经存在
  • 研讨会:智能合约安全分析(12月11日)

近期文章

  • 我们构建了MCP一直需要的安全层
  • 利用废弃硬件中的零日漏洞
  • 深入EthCC[8]:成为智能合约审计员
  • 使用Vendetect大规模检测代码复制
  • 构建安全消息传递很难:对Bitchat安全辩论的 nuanced take

© 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次