鏈上訓練營
  • 區塊鏈入門基礎
    • 區塊鏈小百科
    • 區塊鏈(Blockchain)是什麼
    • 區塊鏈行業基本專業術語集錦
    • 區塊鏈如何製造信任?
    • 區塊鏈轉賬是怎麼收費的?
    • 區塊鏈中的區塊鏈層L0、L1、L2、L3分別是什麼
    • 什麼是共識機制:PoW、PoS、DPoS
    • PoA共識算法:它與PoW、PoS比起來如何?
    • 什麼是 ZK 證明,ZK 證明有什麼用
    • 穩定幣是什麼,有什麼作用?
    • BTC、ETH、LTC的最小單位是什麼?
    • ERC-20、ERC-721、ERC-1155、ERC-4626和可組合性
    • Rollup
    • 能力證明(Proof of Capacity)
    • 公鑰加密或稱非對稱加密體制
    • 拜占庭將軍問題
    • UXTO
    • 比特幣勒索病毒
    • 以太坊是如何運作的?
      • 以太坊是如何運作的? (一)
      • 以太坊是如何運作的? (二)
    • 什麼是ICO眾籌?
    • 區塊鏈執行層、存儲層和共識層的擴容方案
    • 什麼是BNB(幣安幣)?
    • 隔離見證(SegWit)
    • 什麼是區塊鏈橋?
    • Web2與Web3:孰優孰劣?
    • 什麼是流動性資金池(LP)代幣?
    • 什麼是去中心化應用程序(DApp)?
    • GameFi的概念及其運作原理
    • 治理代幣是什麼?
    • 加密貨幣交易中的槓桿是什麼?
    • 包裝以太幣 (WETH):概念與包裝方式
    • 什麼是以太坊域名服務(ENS)?
    • 如何在元宇宙購買土地?
    • 買賣價差和滑動價差詳解
    • 什麼是區塊鏈三元悖論?
    • 什麼是智能合約安全審計?
    • 什麼是遠期合約和期貨合約?
    • 什麼是重放攻擊?
    • 什麼是粉塵攻擊?
    • 什麼是Cosmos (ATOM)?
    • 什麼是Polygon (MATIC)?
    • 什麼是BNB自動銷毀?
    • 什麼是幣安預言機?
    • 什麼是ApeCoin (APE)?
    • 託管型與非託管型錢包有何差異?
    • 什麼是Avalanche (AVAX)?
    • 什麼是Synthetix (SNX)?
    • QuickSwap概念極其運行方式簡介
    • 什麼是Solana (SOL)?
    • 五種風險管理策略
    • 什麼是加密貨幣白皮書?
    • 什麼是代幣經濟學?它的重要性何在?
    • 什麼是NEAR協議(NEAR)?
    • Yield Guild Games (YGG) 是什麼?
    • 什麼是礦工費(Gas Fee)?
    • NFT新手科普:十七個NFT最常見問題匯總
    • 元宇宙生態全景梳理哪7層基本要素構成元宇宙?
    • 什麼是萊特幣(LTC)?
    • 什麼是Sandbox (SAND)?
  • 錢包
    • 錢包基礎知識
      • 數字錢包基礎知識(1)
      • 數字錢包基礎知識(2)
      • 數字錢包基礎知識(3)
    • 常見錢包匯總
    • 常見錢包教程
      • (多鏈-手機端)TokenPocket
      • (多鏈-手機端)Trust Wallet
      • (Solana-插件)Phantom(1)
      • (Solana-插件)Phantom(2)
      • (Solana-插件)Phantom(3)
      • Polygon-Metamask配置方式
      • Polygon-TokenPocket配置方式
      • Polygon-imToken配置方式
  • DEFI(去中心化金融)
    • 什麼是去中心化金融(DeFi)?
    • DEX去中心化交易所
    • 常見DeFi借貸及操作指南
    • 常見跨鏈工具
    • IDO
      • 什麼是IDO(首次去中心化交易所發行)?
      • IDO平台介紹
      • IDO 平台匯總及操作指南
    • DeFi 2.0
  • 代幣相關
    • 公鏈幣質押挖礦教程
      • BNB質押挖礦
      • ETH2.0質押挖礦
      • TRX質押挖礦
      • DOT質押挖礦
      • ATOM質押挖礦
      • 如何成為Eth2Medalla測試網驗證者
      • 以太坊(Ethereum)挖礦教程
  • 熱門公鏈對比
    • 公鏈簡介
      • 熱門公鏈對比(1-10)
      • 熱門公鏈對比(11-20)
      • 熱門公鏈對比(21-30)
      • 熱門公鏈對比(31-40)
      • 熱門公鏈對比(41-46)
  • cosmos生態
    • cosmos生態簡要分析
    • cosmos未發幣項目匯總
    • ATOM質押空投教程
  • 熱門項目解讀
    • STEPN
  • DAO
    • 去中心化自治組織DAO
    • 關於DAO的基礎知識
    • DAO和搭便車問題
    • 什麼是投資型DAO?
  • 域名賽道
    • 域名賽道及項目介紹
    • 主流公鏈域名鏈接
    • Unstoppable Domains域名教程
  • 資訊分享
    • Portals 能否成為下一個Decentraland
    • 快速了解SocialFi
    • ETHDenver尋寶
    • 區塊鏈layer1和layer2的解讀
    • NEAR:區塊鏈協議中的隨機性
    • 詳解Polygon全棧zk擴容方案
    • 代幣經濟模式
  • 精品文章
    • 精品文章
    • 投研類
      • 投資管理工具
      • 投資研究
      • 行情分析 & 鏈上數據分析
      • ico/ido/空投工具
      • 開發者募捐/募資社區
      • 鏈遊/元宇宙
      • 幣圈/鏈圈新聞網站
      • Discord社區
      • 網站導航
      • mirror社區博主
      • 治理工具
      • 跨鏈
      • NFT
      • 合約數據
      • Twitter 乾貨合集
    • 運營工具
      • Twitter抽獎工具
      • 任務統計數據
      • Discord運營工具
      • telegram社群管理工具
      • tweetshift
    • 信息類
      • 加密貨幣社交媒體監控平台
      • dex交易監控工具
      • Dapp匯總平台
      • 加密貨幣研報平台
      • nft監控平台
      • 幣種信息查詢工具
      • ETH智能合約數據分析工具
      • WAX公鏈相關
    • 實用類
      • 郵箱地址批量生成
      • eth各大側鍊及測試鏈rpc設置
      • NFT交易平台
      • 混幣工具
  • 🌐語言
    • 中文简体
    • English
    • 한국인
    • 中文繁体
Powered by GitBook
On this page
  • 什麼是智能合約審計?
  • 我們為什麼需要智能合約審計?
  • 智能合約審計是如何運作的?
  • 智能合約審計
  • 燃料效率
  • 合約漏洞
  • 平台安全漏洞
  • 什麼是審計報告?
  • 何處提供智能合約審計?
  • CertiK
  • ConsenSys Diligence
  • 審計一份智能合約的費用是多少?
  • 總結
  1. 區塊鏈入門基礎

什麼是智能合約安全審計?

智能合約安全審計還可以對項目的智能合約進行詳細分析。這些措施對於保障合約投資資金非常重要。由於區塊鏈上的所有交易都是最終交易,因此一旦資金被盜將無法找回。通常情況下,審計員會檢查智能合約的代碼,生成一份報告,並將報告交予項目組使用。然後會發布一份最終報告,並詳細說明所有懸而未決的錯誤,以及為解決性能或安全問題所做的工作。

智能合約安全審計在去中心化金融 (DeFi) 生態系統中十分普遍。如果您投資了區塊鏈項目,那麼您的決定可能在一定程度上會受到智能合約代碼審查的影響。

雖然大部分人都明白審計對網絡安全的重要性,但深入研究一行行代碼的卻寥寥無幾。我們來看一下智能合約安全審計中常用的方法、工具和結果,方便您做出更明智的決定。

什麼是智能合約審計?

智能合約安全審計會對項目的智能合約代碼進行檢查和評論。通常情況下,這些合約會用 Solidity 編程語言編寫,並由 GitHub 提供。若 DeFi 項目要處理的區塊鏈交易價值數百萬美元或有大量參與者,則安全審計尤其有價值。審計通常遵循以下四個步驟:

  1. 將智能合約提供給審計組進行初步分析。

  2. 審計組將他們的發現提交給項目組,供其採取行動。

  3. 項目組根據發現的問題進行修改。

  4. 審計組會將新的修改和懸而未決的錯誤考慮在內,然後發布最終報告。

對於許多加密用戶而言,在投資新的 DeFi 項目時,智能合約審計不可或缺。它已經成為了重要項目的標準。某些審計機構也成為了行業領導者,提高了其審計工作在投資者眼中的價值。

我們為什麼需要智能合約審計?

大量的價值通過智能合約進行交易或鎖定在智能合約中,它們極易成為黑客攻擊的目標。即使小小的編碼錯誤也可能導致巨額資金被盜。例如,以太坊區塊鏈上的 DAO 黑客攻擊奪走了價值約 6000 萬美元的以太幣,甚至導致了以太坊網絡硬分叉。

由於區塊鏈交易無法撤銷,因此確保項目代碼的安全至關重要。區塊鏈技術的高度安全性使得事後難以取回資金和解決問題,因此最好不惜一切代價預防可能出現的漏洞。

智能合約審計是如何運作的?

智能合約審計的過程在審計機構之中相當標準。雖然每個審計員的方法可能略有不同,但一般的流程如下所示:

  1. 確定審計範圍。智能合約和項目規範是由項目(其預期目的)和整體架構定義的。項目規範有助於審計組在編寫和使用代碼時了解項目目標。

  2. 根據所需的工作量提供初步報價。

  3. 運行測試。其確切性質將根據審計組、他們的分析工具和方法而改變。通常情況下,會採用手動和自動兩種測試方式。

  4. 創建包含了所發現錯誤的報告初稿,提供給項目組以獲得反饋和後續修正。

  5. 考慮團隊為解決提出的問題所採取的行動,然後發布最終報告。

智能合約審計

燃料效率

智能合約審計並不只關注區塊鏈安全,還著眼於效率和優化。有些合約會通過一系列複雜的交易來完成預期功能。由於以太坊這樣的網絡燃料費用相對較高,高效的合約可以節省大量交易成本。

優化其性能也是開發人員的一項技能指標。低效的步驟會存在更多的故障點,應盡量避免。燃料成本很高時,智能合約可能無法執行,使用燃料低成本限制時更是如此。

合約漏洞

審計中的大部分工作涉及檢查合約的安全漏洞。雖然一些問題很容易看到,但許多漏洞運用了先進的技術和策略來抽走資金。例如,市場操縱可以結合弱勢智能合約進行閃電貸款攻擊。為了發現這些問題,審計員會開始破譯測試過程,模擬對智能合約的惡意攻擊。常見漏洞包括:

  1. 可重入性問題:當一個智能合約在任何影響得到解決之前對另一個外部合約進行外部調用。然後,由於該原始合約的餘額尚未更新,外部合約可以遞歸調用該原始智能合約並以它不應該有的方式與之交互。

  2. 整數上溢和下溢:智能合約進行算術運算,但輸出超過了存儲容量(通常是小數點後 18 位)時。這可能導致計算金額出錯。

搶先交易機會:結構不良的代碼可以為市場的購買或銷售提供預警。這反過來又會使其他人利用這些信息,為謀取私利而開展交易。

平台安全漏洞

大多數審計包括查看託管合約的網絡,甚至還包括用於與 DApp 交互的 API。如果一個項目可能容易受到 DDoS 攻擊,或者其網站 UI 遭到破壞,這意味著用戶實際上會將他們的錢包連接到惡意的區塊鏈應用程序。

什麼是審計報告?

審計報告是審計結束時出具的報告。為了提高透明度,項目組應與社區分享其發現。大多數報告會按嚴重程度對問題進行分類,如嚴重、重大、輕微等。報告還會將問題的狀態列出,因為在最終報告發布前,項目仍會有時間來解決這些問題。

除執行摘要外,標準報告還將包含建議、冗餘代碼示例以及編碼錯誤所在位置的完整細節。在最終版本發布之前,該項目有時間對報告的調查結果採取行動。

何處提供智能合約審計?

許多智能合約審計服務機構已經因服務出眾而聲名鵲起。其中有兩個特別受歡迎,從他們那裡獲得審計將需要提供初步報價和移交信息。

CertiK

在智能合約審計方面,CertiK 是行業領導者。成百上千個項目已經通過他們對智能合約進行了審計。 BSC 最大的自動化做市商 (AMM) PancakeSwap 就是其中一個例子。

此外,幣安孵化器支持的絕大多數項目都通過 CertiK 對合約進行了審計。 CertiK 發布了一個審計項目排行榜,並附有安全評分,您可以對每個項目進行比較。請注意,除了以太坊,CertiK 還承接 BSC 和 Polygon 項目。

ConsenSys Diligence

ConsenSys 由以太坊聯合創始人 Joseph Lubin 經營,是加密貨幣行業在區塊鏈開發方面的知名品牌之一。在 ConsenSys Diligence,該公司提供以太坊智能合約審計。他們還提供自動化服務,以檢查以太坊虛擬機(EVM) 合約中常見的錯誤。

審計一份智能合約的費用是多少?

確切的審計費用取決於需要檢查的智能合約數量。通常情況下,審計費用約達數千美元。若是特定的大型項目,費用則很容易超過 10,000 美元。負責審計工作的審計公司及其聲譽也會影響到您要支付的費用。

總結

幸好對於投資者和用戶來說,智能合約審計已經成為了一個黃金標準。然而,如果每個項目都有智能合約審計,它就不再是一個簡單的價值指標了。因此學會自己閱讀審計非常重要。即使您缺乏技術知識,查看評論和潛在問題的嚴重性亦會有所幫助。

當您遇到審計時,至少應該更容易理解其內容。與往常一樣,在做出任何投資決策時,務必要著眼於全局並考慮到所有信息。

Previous什麼是區塊鏈三元悖論?Next什麼是遠期合約和期貨合約?

Last updated 2 years ago