- 博客(5)
- 收藏
- 关注
原创 一个案例说明高层属性形式化验证
1.验证软件功能介绍:Beosin-VaaS的业务逻辑验证软件, 是一款用来检测智能合约上层业务逻辑漏洞的软件。基于合约的白皮书, 软件利用形式化方法, 首先对单个函数进行属性的描述, 在对单个函数进行属性的验证并通过后, 基于这些已验证属性, 抽取出高层的状态属性, 进而对上层属性进行自动推理和验证, 若属性不满足, 则会返回一条反例路径。2.案例介绍(界面:合约。)我们可以以下面这个案...
2020-01-09 14:48:02 488
原创 整数溢出的漏洞危害和预防
智能合约作为区块链2.0的代表技术,适应于区块链去中心化、分布式的特点, 具有独立运行、不可篡改的优良特性,可用于实现包含金融工具在内的各类分布式应用。开发者可以自行定义交易逻辑并开发代码发布到链上,合约代码在矿工节点的虚拟机环境(如EVM)中执行。合约交易被打包进区块后,链上节点执行相同代码,从而同步改变链上数据状态。故合约的多方参与者无需建立信任,也无法相互欺骗。合约运行在区块链节点中,具有...
2019-12-17 16:30:24 2481
原创 最全整理|智能合约审计工具检测内容有哪些?
目前,出现了多种智能合约审计工具,笔者整理了最常见的检测内容,可分为五大项、二十七小项。下面按分类对已有结果进行说明。1、代码规范检测此大项主要针对合约编写时的一些代码规范进行检测,共有十一小项。1.1 ERC规范包含了ETH常见的ERC20、ERC721、ERC1400、ERC1404、ERC223、ERC777等常见的合约标准检测,确保了开发人员能正确实现这些标准。1.2 Trans...
2019-12-05 11:06:39 4146
原创 智能合约形式化验证工具真能解决问题么?
在智能合约的形式化验证过程中,需要专业的编程人员对不同模板的智能合约进行特征分析、模型建立和模型验证。现在市场上出现了一些一键式的智能合约形式化验证工具,据说可以最大程度的减少验证程序、发现bug,提高工作效率。这种一键式的智能合约形式化验证工具真的有效么?为了求真笔者做了一个测试。本次笔者测试选择的是成都链安研发的离线版免费验证工具Beosin-VaaS。我们基于VSCode的插件市场安装一个...
2019-11-29 14:14:59 1274
原创 形式化验证工具之离线免费版Beosin—VaaS
近期,笔者注意到一款智能合约自动形式化验证工具Beosin—VaaS推出了离线免费版。所谓**“离线免费版”,相较于之前该公司推出的在线免费版、企业版而言,亮点自然不言而喻。对于开发者来说,离线版的验证工具将提供一个不联网的测试环境,在很大程度上能从根源上将黑客攻击的可能拒之门外。经笔者测试,虽然这次推出的版本为免费版,但功能毫不逊色,依然能有效检测出智能合约的常规安全漏洞,并精确定位到有风险...
2019-11-07 14:16:35 1014
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人