【合约检测工具】使用 Slither 检测合约中的 “坏味道”

已于 2023-03-01 14:37:41 修改
阅读量953 收藏 2
点赞数
分类专栏: Solidity 开发工具 文章标签: 智能合约
于 2022-01-15 21:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742184/article/details/122483946
版权

前言

在合约开发中,重中之重是合约的安全。在开发中,我时常会疑惑,除了自己写的单元测试,还有没有别的方法可以像 sonar 一样检测 solidity 中的 “坏味道” 呢?咱们不用收费的 MythX ,可以试一试简单易用,开源的 Slither。

Silther 安装

这里我个人建议使用 pip3 安装的方式,而不是使用 docker,一是因为 docker pull image 的时候拉去速度很慢,二是因为之后还要将镜像外的 workspace 映射到镜像里,觉得有些麻烦。

Step1

如果没有 pip3 包管理器,请先安装 python3.6+,这也是运行 slither 的必要条件。

brew install python3

安装好后,安装 slither

pip3 install slither-analyzer

git clone https://github.com/crytic/slither.git && cd slither

python3 setup.py install

Step2

打开 Solidity 工程根目录,运行

slither .

就可以检查项目中所有合约以及所有依赖的坏味道。cmd 中会打印红黄绿三种颜色的,红色是特别建议修改的,但是提示也不一定准确,需要分析每一处 vulnerable code 是否真的有问题,再决定是否修改。

可能遇到的问题

  1. 找不到合约
    原因有可能是之前用到的依赖合约现在不用了,导致 node_modules 里面没有合约,但是artifact 里有编译后的 link 文件。
    所以清理根目录中 artifact 文件夹,把之前生成的 link 文件删掉就好了。
amber_0515
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
智能合约自动检测工具『链必验』,如何带你解锁Web3.0世界
链安科技的博客
04-27 2056
在我们发布【链必验】新版本之后,目前已有大批开发者前来试用,今天,我们还需要详细介绍这款工具。 【链必验】智能合约自动检测工具,可用来检测区块链智能合约漏洞。平台针对每个用户模拟了一条单独的测试链,用户可以自主在测试链上对智能合约进行部署、测试和验证,是集智能合约开发、测试、验证于一体的综合平台。 在验证的过程,平台采用形式化验证等技术,对执行环境进行建模,通过数学推理等方法对安全属性进行验证,发现合约在运行时可能出现的安全问题,协助合约开发者发现合约的潜在安全隐患,定位漏洞产生的位置,增强合约的安
使用Slither检查智能合约
sanqima的专栏
10-18 1万+
Slither 是一个专门用来对Solidity智能合约进行Bug分析的工具,使用Slither可以方便的检测合约里的缺陷和漏洞,但是该工具有漏报现象,比如对for循环里的数据溢出检测就不是很灵敏,需要人工审计代码。
测试智能合约
Android开源技术交流
07-04 1038
测试智能合约 框架 Truffle 提供了一套标准的自动化测试框架,这就使得测试智能合约变得简单了。 这个框架允许你以两种不同的方式编写简单和可管理的测试: 使用 JavaScript 编写,从外部来执行你的合约,就像应用一样。 使用 Solidity 编写,进阶的外部执行合约,适用于 bare-to-the-metal(实在不知道怎么翻译) 场景。 两种测试方法都有各自的优缺点...
Truffle合约测试
Jc0803kevin的专栏
10-15 1721
合约测试 truffle test 测试文件应置于./tests目录。Truffle只会运行以.js,.es,.es6和.jsx结尾的测试文件,其它的都会被忽略。 命令 要执行测试,执行下面的命令 truffle test 你也可以对单个文件执行测试: –network development 选择网络,配置在truffle-config.js内 truffle test ./path/to/test/file.js --network development 编写一个合约 pragma solidit
slither——区块链智能合约静态分析工具
热门推荐
weixin_44217936的博客
03-02 1万+
一、概述 Slither是一个用Python 3编写的智能合约静态分析框架(源码),提供如下功能: 自动化漏洞检测。提供超30多项的漏洞检查模型,模型列表详见:https://github.com/crytic/slither#detectors 自动优化检测Slither可以检测编译器遗漏的代码优化项并给出优化建议。 代码理解。Slither能够绘制合约的继承拓扑图,合约方法调用关系图等,帮助开发者理解代码。 辅助代码审查。用户可以通过API与Slither进行交互。 二、Slither运行流程 S
区块链和智能合约测试安全性.pdf
10-06
2. 静态分析:利用自动化工具,如Mythril、Oyente或Slither,来扫描代码,检测常见的安全问题,如重入攻击、整数溢出/下溢、权限漏洞等。 3. 动态分析:在受控环境执行智能合约,通过模拟真实交易情况来发现运行...
物联网应用访问控制智能合约的形式化验证.zip
10-16
此外,Solidity智能合约的静态分析工具,如Mythril、Slither等,也能帮助检测合约的潜在问题。 6. 验证过程:形式化验证通常包括以下步骤:(1) 定义合约的逻辑和预期行为;(2) 将合约代码转化为形式语言;(3) 生成...
SlitherAStar:使用A *的Slither.io Bot
05-08
Slither.io A * Bot TamperMonkey是必需的。 要安装,请将此脚本复制到TamperMonkey: ://raw.githubusercontent.com/OneEyed/SlitherAStar/master/bot.meta.js 在游戏进行期间完成配置,该机器人将显示一个新...
aladdin-audits:阿拉丁智能合约审计
04-10
- **Slither**:一个静态分析工具,用于检测智能合约的潜在问题。 - **Mythril**:专注于检测以太坊智能合约的恶意行为。 - **Oyente**:自动化的智能合约安全分析器。 - **Truffle Suite**:一套完整的开发环境,...
idex合约:IDEX 2.0智能合约
02-05
智能合约 总览 此仓库收集IDEX Whistler发布的以太坊合约的源代码,测试和文档。 安装 下载并安装 , 和 。 然后: pip3 install slither-analyzer 用法 此存储库设置为项目,其库和测试代码均以Typescript编写。 ...
Python库 | slither-analyzer-0.6.11.tar.gz
05-22
资源分类:Python库 所属语言:Python 资源全名:slither-analyzer-0.6.11.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python-Slither一个Solidity静态分析框架提供了一个API来轻松操作Solidity代码
08-10
Slither 一个Solidity静态分析框架,提供了一个API来轻松操作Solidity代码
合约检测slither(草稿)
风华浪浪的博客
02-22 718
Slither是一个静态分析框架,它通过将 Solidity 智能合约转换为称为 SlithIR 的间表示来工作。SlithIR使用静态单一赋值 (SSA) 形式和精简指令集来减慢分析执行速度,同时保留在 Solidity 转换为字节码时可用的语义信息。自动漏洞检测:无需用户干预即可检测智能合约漏洞,实现漏洞自动检测。自动优化检测Slither 可以检测编译器可能忽略的代码优化,从而自动化检测代码优化的过程代码理解:对合约信息进行归纳和展示,帮助研究人员理解代码库,提高对智能合约的理解。
slither-analyzer安装报错并解决error: Microsoft Visual C++ 14.0 or greater is required.
mandiheyanyu的博客
12-27 387
python环境3.8,执行 后出现异常 网上有很多解决方法,看评论感觉可能有用的是这个,但是太麻烦了没有用Microsoft Visual C++ 14.0 is required解决方法 https://zhuanlan.zhihu.com/p/126669852我用的是另一个方法 pip install weditor 安装报错 error: subprocess-exited-with-error https://ask.csdn.net/questions/7642639这个subprocess
智能合约漏洞检测工具mythril使用
小楼一夜听春雨
11-01 4960
背景: 在经过长期探索之后,今天终于可以利用mythril来检测一下合约了 环境需要: 我是在centos7虚拟机下的,使用docker 直接用docker配置好的环境来跑,非常方便 合约检测命令: docker run -v /home/worker/cslearningworker/vscode:/contract mythril/myth analyze /contract/test3.sol --solv 0.5.7 -t 2 合约检测: 1.若随机数,区块信息依赖检测不出来: pragma
基于http的合约测试gamesys
weixin_26631359的博客
09-16 420
Abstract 抽象 Contract Testing: a modern testing strategy much-discussed, though ultimately evasive of a universal understanding. Let’s get academic and wordy: it’s become an umbrella term for describi...
探秘Slither智能合约安全审计利器
最新发布
gitblog_00036的博客
03-21 386
探秘Slither智能合约安全审计利器 项目地址:https://gitcode.com/crytic/slither 项目简介 在区块链世界智能合约的安全性至关重要。Slither,由Crytic团队开发,是一个强大的、静态的Solidity分析框架,专为以太坊智能合约设计。它不仅提供了丰富的内置检查,还支持自定义规则,帮助开发者发现潜在的安全漏洞和优化点。 技术分析 Slither基于...
如何辨别合约问题
xiaozhupeiqi321的博客
05-30 1451
貔恘盘合约 1.比如你不确定一个代币是否是貔恘盘的时候,可以用honeypot做个简单的校验。 如果出现 :Yup, honeypot. Run the fuck away ETH合约检查:https://honeypot.is/ethereum.html BSC合约检查:https://honeypot.is/index.html 当然,honeypot只是对ERC合约代码进行基础检查,对于封装代码还是需要人为查看。详情可以看一下这个文章,总的来说,貔貅盘的合约攻击多种多样,对小白来说非常复杂。
Slither自动化测试智能合约并进行分类存储
qq_45138078的博客
11-07 1417
本文主要讲述了如何使用Slither检测智能合约并将检测合约按照恶意与良性来进行分类
智能合约漏洞检测工具分析和比较
05-15
智能合约漏洞检测工具是用于检测智能合约潜在漏洞的软件工具。目前市场上有多种智能合约漏洞检测工具,包括但不限于:Mythril、SmartCheck、Securify、Oyente、Solhint、Slither等。下面对这些工具进行简要分析和比较: 1. Mythril:一种基于Python的智能合约漏洞检测工具,可以自动检测以太坊智能合约的漏洞。Mythril使用静态分析技术来检测合约的漏洞,并支持多种漏洞类型的检测。 2. SmartCheck:一种基于Solidity的智能合约漏洞检测工具使用了一种基于符号执行的技术来检测合约的漏洞。SmartCheck还支持自定义规则和插件。 3. Securify:一种基于静态分析的智能合约漏洞检测工具,支持检测多种漏洞类型。Securify使用了一种基于抽象解释的方法来检测合约的漏洞。 4. Oyente:一种基于Python的智能合约漏洞检测工具使用了一种基于符号执行的技术来检测合约的漏洞。Oyente支持多种漏洞类型的检测,并提供了一种基于可视化的方式来展示检测结果。 5. Solhint:一种用于Solidity代码规范检查的工具,可以检查合约的代码是否符合Solidity代码规范。Solhint支持多种代码规范,并可以自定义规范。 6. Slither:一种基于静态分析的智能合约漏洞检测工具,支持多种漏洞类型的检测Slither使用了一种基于数据流分析的方法来检测合约的漏洞。 综上所述,不同的智能合约漏洞检测工具使用了不同的技术和方法来检测合约的漏洞,每种工具都有其独特的优势和劣势。在选择合适的工具时,需要根据具体的需求和场景进行选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值