CSA 智能合约安全指南

m o c . 5 b u h t i g ©2020 云安全联盟大中华区-版权所有 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2020 云安全联盟大中华区-版权所有 2 致谢云安全联盟大中华区（简称：CSA GCR）区块链安全工作组在 2020 年 2 月份成立。由黄连金担任工作组组长，9 位领军人分别担任 9 个项目小组组长，分别有：知道创宇创始人&CEO 赵伟领衔数字钱包安全小组，北大信息科学技术学院区块链研究中心主任陈钟领衔共识算法安全小组，赛博英杰创始人&董事长谭晓生领衔交易所安全小组，安比实验室创始人郭宇领衔智能合约安全小组，世界银行首席信息安全架构师张志军领衔 Dapp 安全小组，元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组，北理工教授祝烈煌领衔网络层安全小组，武汉大学教授陈晶领衔数据层安全小组，零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。区块链安全工作组现有 100 多位安全专家们，分别来自中国电子学会、耶鲁大学、北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由智能合约安全小组专家撰写，感谢以下专家的贡献：原创作者：郭宇、黄连金、吴潇、姚昌林、赵伟（按照字母排序）审核专家：郭文生、叶振强、于晓航、余弦、祝烈煌（按照字母排序）贡献单位：长亭科技、知道创宇（按照字母排序）关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： [email protected]; 云安全联盟 CSA 公众号： ©2020 云安全联盟大中华区-版权所有 3 序言智能合约作为区块链的重要技术极大地扩展了区块链的应用场景与现实意义，被广泛地应用于金融、游戏、保险、物联网等多个领域，但同时也面临着严重的安全风险。相比于普通程序而言，智能合约的安全性不仅影响合约参与多方的公平性，还影响合约所管理的庞大数字资产的安全性。因此，对智能合约的安全性及相关安全漏洞开展研究显得尤为重要。 CSA GCR 对于智能合约的安全进行系统化研究，从不同的角度去分析智能合约的安 m o c . 5 全，从智能合约开发者角度，在第一章从智能合约的安全框架出发提出了测试标准，可以为开发者在内部安全测试中参考。第二章结合部分典型案例，具体剖析曾发生过的经典智能合约安全事件和深层次原因，有利于开发者了解已经发生过的智能合约安全事件，引以为戒。第三章分析总结智能合约最佳实践，包括针对智能合约生态常见问题的 b u 基本对策、社区最佳实践和安全开发资料，以及推荐工具，可以在开发过程中使用。第四章从第三方审计的角度介绍智能合约安全审计的 Checklist，供第三方审计参考使用。第五章做了简要的总结。 h t i g 本文档主要用 Solidity 语言进行说明，因为绝大多数的智能合约是用 Solidity 进行编程的，但是大部分安全指南内容也可以用到其他编程语言开发的智能合约。智能合约的技术和编程语言在不停地发展，安全方面也需要与时俱进。本文档作为第一个版本抛砖引玉，希望专家们批评指正。李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录致谢............................................................................................................................................ 2 序言............................................................................................................................................ 4 1. 测试标准.............................................................................................................................. 6 1.1 合约平台底层安全............................................................................................................ 6 1.2 合约设计与实现安全................................................................................................. 8 1.3 合约生态工具安全................................................................................................... 11 1.4 合约交互与数据安全............................................................................................... 13 2. 典型案例............................................................................................................................ 15 m o c . 5 2.1 重入漏洞................................................................................................................... 15 2.2 整数溢出漏洞........................................................................................................... 15 2.3 合约库安全问题....................................................................................................... 16 2.4 复杂 DeFi 协议组合安全....................................................................................... 16 b u 2.5 非标准接口............................................................................................................... 16 2.6 管理员权限过高或较中心化................................................................................... 17 h t i g 2.7 业务逻辑与区块链共识产生冲突........................................................................... 17 2.8 开发者应持续关注更多安全案例........................................................................... 18 3. 最佳实践............................................................................................................................ 18 3.1 基本对策................................................................................................................... 18 3.2 社区最佳实践和安全开发资料............................................................................... 20 3.3 推荐工具................................................................................................................... 21 4：以太坊智能合约审计 CheckList....................................................................................22 4.1 编码规范问题......................................................................................................... 23 4.2 设计缺陷问题..................................................................