众所周知, 元宇宙是最近几年互联网、资本和科技领域最火的概念。而受此影响, 作为元宇宙世界的重要基础形式之一和入门级应用、流量入口, 数字藏品也火遍全球, 不仅各大科技巨头争夺元宇宙入场券的首选和优选的场景, 也吸引着各路势力的入局。

　　北京冬奥会之后, 中国的数字藏品热如烈火烹油一般达到。据《数字藏品应用参考》发布的数据,截至 2022 年 7 月上旬, 国内数字藏品平台已超过 700 家。其中不乏资质不齐全、资金实力弱小、技术能力不完备的小平台。

　　不过就在数字藏品热席卷大江南北的同时, 各种安全事故也如影随形地出现。3 月, 数字藏品平台「唯一艺术」的服务器频遭违规软件和 DDoS 攻击, 导致系统出现故障, 部分订单出错;

　　5 月 17 日凌晨, 天穹数藏 App 上的藏品价格突涨千倍, 暴涨后价格千万的藏品也能被「秒卖」, 平台发布公告称遭遇大量恶意攻击, 导致数据异常;6 月 28 日夜间, 有多个玩家在社群中表示光艺数藏「一度暴跌 80%、无法提现、涉及洗钱, 导致玩家显示异常、跑路等问题, 甚至有数藏玩家爆料, 已拿到光艺数藏负责人梁某某账号, 发现其账号中持有大量数字藏品, 涉嫌操纵数藏二级寄售市场的价格

　　类似的新闻层出不穷。截至目前, 仅黑猫投诉平台上涉及「数字藏品」的相关投诉就累计超过 2500 条, 其中数据丢失、购买藏品被盗是主要的问题之一。

　　在数字藏品安全风险章节,《数字藏品应用参考》指出, 数字藏品是依托于区块链这一新兴互联网技术而产生的, 虽然区块链技术通过分布式共识机制拥有天然防篡改特性, 但是由于信息系统建设及应用管理的复杂性, 如果考虑不周, 仍然会存在一定的安全风险。数字藏品中面临的最大技术风险, 是区块链系统特有的安全问题。而在这当中, 很大一部分又是智能合约安全问题。

　　我们都知道, 数字藏品的底层支撑技术是区块链。而智能合约, 则是一段写在区块链上的代码大到一条公链, 小到一个项目, 都是由代码写成。

　　根据知名学者 Nick Szabo 在 1990 年代提出的概念, 智能合约 (Smart Contract) 是一套以数字形式定义的承诺 (commitment), 包括合约参与方可以在上面执行这些承诺的协议。根据协议, 一旦某个事件触发合约中的条款, 代码就会自动执行, 无需人为操控。所以, 智能合约就是合约数字化当满足一定条件后, 由程序自动执行的技术。这种技术更易于合约保存, 并且由确定的算法运行, 给定输入, 就得到对应的输出, 极大保障了合约的执行力。

　　但凡事都有两面性。当我们享受智能合约强制自动执行优势所带来的颠覆性变革时, 也不得不承受其缺点造成的影响。由于智能合约的代码在区块链环境上执行是不可修改的, 一旦代码本身出现 bug, 就必须修改合约代码后重新部署新的合约。如果项目的业务模型十分复杂, 合约中的代码就难以修改, 缺陷会一直存在, 这就很容易出现安全漏洞, 从而有可能导致链上资产的损失。

　　不光如此, 由于智能合约的代码往往是公开的, 编译后的二进制数据, 也是所有人都可以访问的。假如智能合约的代码存在漏洞, 那么漏洞就很容易被他人利用, 导致隐私数据泄露, 导致资产面临丢失风险。

　　数字藏品的智能合约安全漏洞频出, 还与区块链平台自身的不成熟有关。目前, 业界常见的区块链平台仍处于不断开发、迭代过程中。随着版本的更新, 各类区块链平台也会出现或大或小的变化, 进而带来安全风险。

　　智能合约的安全漏洞可以从高级语言 Solidity、以太坊虚拟机 (EVM) 和区块链三个层面进行分类高级语言 Solidity 层面的漏洞, 主要是语言自身设计的缺陷, 以及开发者在开发过程中引入的错误;以太坊虚拟机层面的安全威胁, 主要是由以太坊智能合约字节码规范和运行机制本身的一些缺陷带来;则区块链层面的漏洞, 则是由区块链本身的很多特性造成。

　　根据经验, 智能合约的安全漏洞本身极少是由于区块链底层虚拟机引起的, 大部分都是因为智能合约开发者本身编写的代码有漏洞。

　　上医治未病。既然有如此多的原因导致智能合约出现安全漏洞, 那么安全审计和检测就不可或缺。事实也的确如此。曾经有第三方安全机构对为期五年内合作审计过的近 2000 个智能合约项目进行过统计, 结果显示, 有超过 20% 的智能合约经过审计后发现存在安全漏洞和隐患。

　　虽然道理都懂, 但在现实之中, 真正愿意接受第三方安全机构进行审计检测的将智能合约项目, 少之又少。这也导致因为智能合约安全审计不足而被攻击、资产被盗的事件屡屡发生, 且一旦出现问题, 往往涉案金额巨大, 损失惨重。

　　在这当中, 有的是因为合约未经审计, 导致安全漏洞被黑客利用, 例如著名的加密货币平台 Poly Network 就是因此而被黑客侵入, 最终损失 6.1 亿美金;有的是因为节省预算, 导致合约只审计了一部分, 同样给黑客留下了可乘之机。

　　不管是区块链平台, 还是数字藏品项目, 要想获得长期、持久、健康、有序的发展, 安全是首要前提和重中之重。如果没有经过安全审计或者审计不全, 那么智能合约无异于装上了一个不定时炸弹。不管是平台方, 还是参与其中的用户, 都像是在埋满地雷的土地上里行走, 平台数据、资产都完全裸露在风险面前, 随时都可能遭遇暴雷事件平台方不仅需要赔付用户巨额损失, 还可能因此赔上整个项目的声誉的前景。文章开头出现的新闻, 无疑正是这方面的反面教材。

　　所以,一个优质的区块链或者数字藏品项目, 首先必须是一个安全的项目,而智能合约的安全就是项目安全最重要的基础。

　　智能合约要想安全, 审计、检测就必须进行得全面而细致设计、编码、管理、运营、监控、事件处理等缺一不可,不能有任何侥幸心理, 否则可能将因小失大, 得不偿失。

　　针对智能合约的安全性, 可使用多种自动或半自动的安全检测手段扫描合约中的代码, 查堵其中的安全漏洞。

　　目前, 行业常用的审计方法主要有三类:静态扫描、动态扫描和形式化验证。三类办法, 各有千秋。

　　其中, 静态扫描是通过模式匹配等方式直接查找代码中问题的审计办法, 如果代码符合某个模式, 即代表代码存在对应的问题。在整个扫描过程中, 扫描工具本身不会执行智能合约当中的代码。静态扫描的优势在于速度较快, 但缺点是会出现一定的误报率。就目前而言, 市场上, 使用广且结果覆盖全的开源静态扫描工具, 数量并不多。

　　与静态扫描对应的是动态扫描。动态扫描根据运行智能合约代码过程中的状态, 来判断是否存在安全漏洞。相比于静态扫描, 动态扫描的速度较慢, 且容易出现漏报。

　　此外, 还有一种办法, 就是形式化验证。这种方式是在智能合约的生命周期内, 通过数学建模和智能化分析的方式, 来验证智能合约是否满足核心指标, 进而判断安全性。相比于前面两种办法, 这种办法可有效确定合约代码的运行结果是否符合预期。

　　作为一家可信数据基础设施提供商,八分量基于形式化验证等技术, 开发出区块链检测平台,对数字藏品或者区块链执行环境的代码规范性、业务逻辑安全性以及其他安全问题进行审计、检测, 从而协助开发者发现合约中的潜在安全隐患, 封堵安全漏洞, 增强合约安全性。

　　八分量区块链检测平台的智能测试工具或者测试用例, 以 API 或安装包的形式对外提供服务, 主要分为四种服务模式

　　测试工具以 API 形式对外提供服务, 即调用工具 API 接口, 对用户本地或第三方部署的智能合约进行测试。该场景主要面向对测试用例有一定定制化需求的中小型甲方企业;

　　即提供测试工具安装包和使用文档, 部署在用户生产环境对智能合约进行测试。该场景主要面向对测试用例有一定定制化需求的大型甲方企业;

　　即用户在八分量区块链检测平台上进行测试用例的编排后, 将测试用例以 API 的形式对外发布, 随后通过对该 API 的调用, 实现对智能合约和区块链的模板化的自动化测试。该场景主要面向第三方合约审计平台或没有测试用例开发能力的客户;

　　测试用例以安装包形式对外提供服务, 需要整套 core 平台私有化部署, 主要面向头部行业客户, 如国家电网、银行等, 多以定制化形式交付, 不做为标品提供。

　　八分量区块链检测平台支持多个区块链平台合约, 支持多条安全检测项, 支持多种合约语言, 支持多种接入方式和接口。

　　不仅如此, 在技术上, 八分量区块链检测平台还具备这几个特点:易用性突出,操作方便;可伸缩性强, 采用分布式集群方案,根据运行时设备压力状况实现动态资源分配;自动化,通过机器学习算法挖掘输入特征之间更深层次的联系, 充分地利用恶意代码的信息, 大幅提高恶意代码检测的准确率, 并且一定程度上对未知的恶意代码实现自动化的分。

九游娱乐
上一篇：十大避坑平台--光艺崩盘大量用户被封禁APP涉嫌！ 下一篇：21岁深度参与国内数字藏品的十二个月