安全公司报告
文库搜索
切换导航
文件分类
频道
文件分类
批量下载
m o c . 5 b u h t i g ©2020 云安全联盟大中华区-版权所有 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及, 或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下: (a)本文只可作个人、 信息获取、非商业用途;(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得 删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云 安全联盟大中华区。 ©2020 云安全联盟大中华区-版权所有 2 致谢 云安全联盟大中华区(简称:CSA GCR)区块链安全工作组在 2020 年 2 月份成立。 由黄连金担任工作组组长,9 位领军人分别担任 9 个项目小组组长,分别有:知道创宇 创始人&CEO 赵伟领衔数字钱包安全小组,北大信息科学技术学院区块链研究中心主任 陈钟领衔共识算法安全小组,赛博英杰创始人&董事长谭晓生领衔交易所安全小组,安 比实验室创始人郭宇领衔智能合约安全小组,世界银行首席信息安全架构师张志军领衔 Dapp 安全小组,元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组,北理 工教授祝烈煌领衔网络层安全小组,武汉大学教授陈晶领衔数据层安全小组,零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。 区块链安全工作组现有 100 多位安全专家们,分别来自中国电子学会、耶鲁大学、 北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢 雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由智能合约安全小组专家撰写,感谢以下专家的贡献: 原创作者:郭宇、黄连金、吴潇、姚昌林、赵伟(按照字母排序) 审核专家:郭文生、叶振强、于晓航、余弦、祝烈煌(按照字母排序) 贡献单位:长亭科技、知道创宇(按照字母排序) 关于研究工作组的更多介绍,请在 CSA 大中华区官网(https://c-csa.cn/research/) 上查看。 如本白皮书有不妥当之处,敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱:
[email protected]
; 云安全联盟 CSA 公众号: ©2020 云安全联盟大中华区-版权所有 3 序言 智能合约作为区块链的重要技术极大地扩展了区块链的应用场景与现实意义,被广 泛地应用于金融、游戏、保险、物联网等多个领域,但同时也面临着严重的安全风险。 相比于普通程序而言,智能合约的安全性不仅影响合约参与多方的公平性,还影响合约 所管理的庞大数字资产的安全性。因此,对智能合约的安全性及相关安全漏洞开展研究 显得尤为重要。 CSA GCR 对于智能合约的安全进行系统化研究,从不同的角度去分析智能合约的安 m o c . 5 全,从智能合约开发者角度,在第一章从智能合约的安全框架出发提出了测试标准,可 以为开发者在内部安全测试中参考。第二章结合部分典型案例,具体剖析曾发生过的经 典智能合约安全事件和深层次原因,有利于开发者了解已经发生过的智能合约安全事 件,引以为戒。第三章分析总结智能合约最佳实践,包括针对智能合约生态常见问题的 b u 基本对策、社区最佳实践和安全开发资料,以及推荐工具,可以在开发过程中使用。第 四章从第三方审计的角度介绍智能合约安全审计的 Checklist,供第三方审计参考使用。 第五章做了简要的总结。 h t i g 本文档主要用 Solidity 语言进行说明,因为绝大多数的智能合约是用 Solidity 进行编 程的,但是大部分安全指南内容也可以用到其他编程语言开发的智能合约。智能合约的 技术和编程语言在不停地发展,安全方面也需要与时俱进。本文档作为第一个版本抛砖 引玉,希望专家们批评指正。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录 致谢............................................................................................................................................ 2 序言............................................................................................................................................ 4 1. 测试标准.............................................................................................................................. 6 1.1 合约平台底层安全............................................................................................................ 6 1.2 合约设计与实现安全................................................................................................. 8 1.3 合约生态工具安全................................................................................................... 11 1.4 合约交互与数据安全............................................................................................... 13 2. 典型案例............................................................................................................................ 15 m o c . 5 2.1 重入漏洞................................................................................................................... 15 2.2 整数溢出漏洞........................................................................................................... 15 2.3 合约库安全问题....................................................................................................... 16 2.4 复杂 DeFi 协议组合安全....................................................................................... 16 b u 2.5 非标准接口............................................................................................................... 16 2.6 管理员权限过高或较中心化................................................................................... 17 h t i g 2.7 业务逻辑与区块链共识产生冲突........................................................................... 17 2.8 开发者应持续关注更多安全案例........................................................................... 18 3. 最佳实践............................................................................................................................ 18 3.1 基本对策................................................................................................................... 18 3.2 社区最佳实践和安全开发资料............................................................................... 20 3.3 推荐工具................................................................................................................... 21 4:以太坊智能合约审计 CheckList....................................................................................22 4.1 编码规范问题......................................................................................................... 23 4.2 设计缺陷问题..................................................................
CSA 智能合约安全指南
文档预览
中文文档
59 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助3.0元下载(无需注册)
温馨提示:本文档共59页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助3.0元下载
本文档由 路人甲 于
2022-07-06 02:52:45
上传分享
举报
下载
原文档
(1.0 MB)
分享
友情链接
ISO-IEC 5259-5 2025 Artificial intelligence - Data quality for analytics and machine learning (ML) - Part 5 Data quality governance framework.pdf
ISO 20257-2 2021 Installation and equipment for liquefied natural gas — Design of floating LNG installations — Part 2 Specific FSRU issues.pdf
ISO 15016 2025.pdf
ISO-IEC 23090-25 2025 Information technology - Coded representation of immersive media - Part 25 Conformance and reference software for carriage of visual volumetric video-based coding data.pdf
ISO-IEC 23090-31 2025 Information technology - Coded representation of immersive media - Part 31 Haptics coding.pdf
ISO-IEC TS 33062 2025 Information technology - Process assessment - Process assessment model for quantitative processes to support higher levels of process capability in ISO-IEC 33020.pdf
ISO TS 81001-2-1 2025 Health software and health IT systems safety effectiveness and security - Part 2-1 Coordination - Guidance for the use of assurance cases for safety and security.pdf
ISO-IEC 18046-5 2025 Information technology - Radio frequency identification device performance test methods - Part 5 Test methods for the environmental characteristics of RFID tags used in sporting g.pdf
ISO-IEC 29110-5-6-4 2025 Systems and software engineering - Life cycle profiles for very small entities (VSEs) - Part 5-6-4 Systems engineering guidelines for the generic Advanced profile.pdf
ISO-IEC 9868 2025 Information technology - Design development use and maintenance of biometric identification systems involving passive capture subjects.pdf
GB-T 18472-2001 数字编码彩色电视系统用测试信号.pdf
GB-T 3668.2-1983 组合机床通用部件 支架尺寸.pdf
GB-T 6609.29-2004 氧化铝化学分析方法和物理性能测定方法 吸附指数的测定.pdf
GB 25433-2010 密闭式炼胶机炼塑机安全要求.pdf
GB-T 12778-2008 金属夏比冲击断口测定方法.pdf
GB-T 6730.64-2022 铁矿石 水溶性氯化物含量的测定 离子选择电极法.pdf
GB-T 19467.1-2004 塑料 可比单点数据的获得和表示 第1部分 模塑材料.pdf
GB 20071-2006 汽车侧面碰撞的乘员保护.pdf
GB-T 2900.64-2013 电工术语 时间继电器.pdf
GB-T 5568-2013 橡胶或塑料软管及软管组合件 无曲挠液压脉冲试验.pdf
1
/
3
59
评价文档
赞助3.0元 点击下载(1.0 MB)
回到顶部
×
微信扫码支付
3.0
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。