ETH:以太坊合并“后時代”「形式化驗證技術」如何檢測合約安全？_ETH挖礦app下載

所謂的形式化驗證，簡單而言就是用數學工具進行驗證的方法，把代碼編成數學模型，從設計到實現整個流程，通過證明手段來證明代碼是完備安全的。

形式化驗證作為成都鏈安的核心技術之一，已經幫助上千份智能合約解決安全問題。可能很多人會問，為什么人工不能檢測到的問題，形式化驗證可以呢？

這是因為，對于形式化驗證，可以無需理解合約具體實現的細節，無需構造特定的場景，無需數據枚舉；通過邏輯關系凝練出可復用的安全屬性，對合約每條路徑都會進行嚴謹的數學公式推理，自動檢測每個可能的系統狀態及操作，計算出可滿足的解，并根據求解結果對比是否違反安全屬性最終檢測出每條路徑下可能存在的安全問題。

跨鏈協議Synapse Network已支持以太坊擴容方案Arbitrum:9月22日消息，跨鏈協議Synapse Network宣布已支持以太坊擴容方案Arbitrum，并且可以實現在數分鐘內將ETH從以太坊主網跨鏈至Arbitrum或從Arbitrum上轉回以太坊主網。當用戶使用Synapse將ETH從以太坊主網跨鏈至Arbitrum時，Synapse將在Arbitrum上鑄造nETH，并通過nETH和Arbitrum上ETH流動性池兌換為Arbitrum上的ETH實現跨鏈。用戶可通過為該池提供流動性來獲得協議手續費收入和SYN代幣激勵。[2021/9/22 16:58:58]

以太坊合并“后時代”，智能合約安全同樣不可忽視，今天，我們為大家準備了一個以太坊生態的案例，看看下面這份合約是如何在我們的智能合約形式化驗證平臺“鏈必驗”檢測出漏洞的。

以太坊未確認交易為121,854筆:金色財經消息，據OKLink數據顯示，以太坊未確認交易121,854筆，當前全網算力為366.30TH/s，全網難度為4.87P，當前持幣地址為54,707,645個，同比增加191,546個，24h鏈上交易量為2,763,561.5ETH，當前平均出塊時間為13s。[2021/2/13 19:42:27]

鏈必驗，是一款全球領先的“一鍵式”智能合約形式化驗證平臺。檢測準確率高達97%以上，精確定位風險代碼位置并給出修改建議，自動檢測智能合約80余項的常規安全漏洞及功能邏輯缺陷。現已擁有生態用戶10萬+，是全球首套同時支持螞蟻鏈、騰訊區塊鏈、FISCO-BCOS、Fabric等的智能合約形式化驗證平臺。可以極大提高智能合約的人工審計效率，有效降低安全隱患遺漏風險。

Cardano創始人：Polkadot與以太坊在設計上有更多相似之處:Cardano創始人、IOHK首席執行官Charles Hoskinson在最近的AMA會議上說：“我不認為ETC是我的孩子，我對這個項目沒有期望。”他表示，ETC社區是獨立的，他們有能力自己做決定，并且他指出他們應該是決定生態系統前進的最佳路徑的人。但Hoskinson同時還說：“（ETC）已經很多年了，但沒有什么進展。當行業內的一切都在不斷發展時，他們不可能繼續做同樣的事情，還指望保持競爭力。”當在AMA上被問及Polkadot是否是Cardano的復制品時，Hoskinson明確表示Polkadot是具有原始代碼的原始作品。他說：“與我們的系統運行方式相比，Polkadot在設計上有關鍵的不同。”他指出，與Cardano相比，Polkadot與以太坊在設計上有更多的相似之處。（Ambcrypto）[2020/12/31 16:11:17]

01.

動態 | 和眾籌合約依然是以太坊吸金大戶，某合約流入的ETH超過10000枚 ?:據第三方大數據機構RatingToken監測數據顯示，過去7日新創建的合約中，排名前三的合約流入ETH都超過了5000枚。排名第一的合約（0x5654c8a885）共有12251枚ETH流入，從反編譯的代碼發現該合約是一個類Fomo合約，主要交易發生在24小時之內。排名第二的合約（LTOTokenSale）共有7981個ETH流入，是LTO Network區塊鏈項目的眾籌合約。[2019/1/17]

準備需要驗證的示例Wizard_game.sol

說明：

原合約為以太坊上真實存在的一個巫師決斗合約。為了看起來簡單明了并且能夠使用形式化檢測驗證問題，本合約根據邏輯關系只保留巫師決斗超時的處理接口；

resolveTimedOutDuel是更新處理超時情況下的巫師決斗結果的接口；

其中每個巫師有自己的決斗場和決斗能量；

若巫師1滿足勝利條件，則將巫師2的決斗能量轉移給巫師1，再將巫師2的決斗能量清零。

2.合約上傳

新增項目

在“鏈必驗”工具中創建需要檢測的項目。本次檢測的項目為ETH類型項目，那么根據需求點擊工具左上方“新增項目”按鈕，輸入項目名稱，選擇項目類型，點擊確定。

新增合約文件夾

選擇剛創建好的項目，點擊工具左上方的“新增合約文件夾”按鈕，輸入文件夾名稱。

上傳合約文件

選擇剛創建好的文件夾，點擊工具左上方的“上傳”按鈕，上傳準備好檢測的合約文件。

3.合約檢測

新增項目

將待檢測合約上傳完成之后，選擇此合約，按照合約內容輸入檢測參數，然后點擊開始檢測。

4.查看結果

待合約檢測完成之后，查看檢測結果，通過代碼定位、錯誤描述、修復建議了解明確該漏洞的具體信息，然后查看代碼邏輯尋找問題并進行修復。

5.結果分析

經分析，產生此漏洞的原因是在執行resolveTimedOutDuel接口更新巫師1和巫師2的決斗屬性時，未考慮巫師1和巫師2相等的情況，在此場景下，巫師1的決斗能量會先翻倍，然后再清零，導致巫師1狀態更新前后總的決斗能量發生了改變，所以導致了assert斷言的失敗。

6.問題解決

此時在resolveTimedOutDuel接口中添加一個限制條件“require(wizardId1!=wizardId2);”，確保在執行決斗屬性更新時巫師1和巫師2不相等，查看是否還存在此問題。

7.漏洞檢測難度人工難以察覺，隨機測試難以出現這種情況

對于智能合約的驗證，通常是伴隨人工驗證，靠自身經驗不斷嘗試枚舉各項可能不滿足的輸入條件，從而比對輸出來判斷是否存在漏洞；其存在的問題就是人工成本昂貴，測試時無法覆蓋到所有的路徑，測試具有一定的機械性、重復性、工作量往往較大。

而對于智能合約的另外一種驗證方式-fuzzing模糊測試，雖然可以解決人工成本昂貴的問題，但是由于其沒有實際執行規則機制原因，僅靠“蠻力”不斷枚舉各個輸入，同樣存在可能出現某種輸入漏掉的問題，并且無法根據路徑檢測出一些邏輯性的漏洞。

在加密行業你想抓住下一波牛市機會你得有一個優質圈子，大家就能抱團取暖，保持洞察力。

如果只是你一個人，四顧茫然，發現一個人都沒有，想在這個行業里面堅持下來其實是很難的。

想抱團取暖，或者有疑惑的，歡迎加入！

感謝閱讀，喜歡的朋友可以點個贊關注哦，我們下期再見！

Tags：以太坊ETHCOS以太坊幣是什么幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意COS價格COS幣

Gateio