国内第一个智能合约检测平台正式上线

当前,全球信息领域新一轮科技创新和产业变革持续深入,渗透范围逐步广泛。在此背景下,区块链技术发展势头迅猛,其生态系统已延伸至物联网、云计算、大数据、人工智能等多个领域。但值得注意的是,区块链作为新兴技术,因技术的演变和复杂化,安全性威胁已成为其迄今为止所面临的最重要问题之一。同时,目前涉区块链技术应用多为金融类项目与产品,其安全所带来的风险更是不可估量。

由于区块链是新兴技术,开发人员和安全人员都很缺乏,尤其在传统安全领域人才稀缺的情况下,区块链安全人才更是一人难求。这一现状导致的直接结果是,所谓“开发人员”都直接从网上下载大量智能合约代码,修改后便直接使用。但这些源自网络的代码本身可能存在严重漏洞,经过不断复制后,也把安全漏洞扩散了。一旦遭人利用,个体问题便迅速扩散为群体性灾难事件。

最著名的黑客攻击事件要数The DAO。早在2016年,这个平台被盗了高达1.5个亿美金的ETH。攻击者利用了递归调用splitDAO 函数这一技术层面的漏洞,这起事件同时也暴露了智能合约安全性的早期缺陷。而2017年Parity Multisig 电子钱包版本1.5+的漏洞被发现,使得攻击者从三个高安全的多重签名合约中窃取到超过15万ETH(约3000万美元)。而这个漏洞竟然是工程师一不小心在编程时写了一个不闭合的函数。就在2018年3月,BEC(美链)爆出ERC20 协议安全漏洞,攻击者利用整数溢出BUG,可无限生成代币,直接导致BEC币值跳水,几乎归零。智能合约已经成为区块链安全的重灾区,也成为区块链整个行业发展的痛点和难点。

目前学术界普遍认为,基于形式化验证的方法是解决智能合约安全检测的重要手段。形式化验证(formal verification)是基于数学建模方法对系统进行描述,通过形式化验证,开发者可以对程序的安全性事先进行审查,排除逻辑漏洞和安全漏洞,从而保证合约的安全。

日前,上海交通大学网络空间安全学院、中国信息通信研究院泰尔终端实验室联合上海掌御科技共建的区块链安全研究中心BSRC,推出了国内首个智能合约自动化检测系统BSCSCS,BSCSCS的在线平台www.sjtubsrc.net目前已经上线,并面向所有用户开放注册和测试。该系统采用了多种形式化验证引擎,目前已经完成了1000个以上智能合约的自动化检测,其中已经上线的快速检测引擎可以平均在一分钟内完成一个智能合约的自动化检测,并公布所有的潜在风险点、漏洞细节以及相关的代码位置。

国内第一个智能合约检测平台正式上线

目前,BSCSCS平台已支持主流区块链平台(如以太坊等)智能合约的形式化验证,并将很快上线深度检测引擎,面向对于安全要求更高的用户和机构,进行智能合约上线前的代码深度审计以及逻辑漏洞检测。

国内第一个智能合约检测平台正式上线

         文章来源:凤凰网商业         

本文系转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。