2022-10-17 17:33:18
慢雾科技宣称自己是一个专注于区块链安全的公司,并且大家在分析币种的时候,也经常会看到该币种已经通过慢雾科技审计的字眼,现如今慢雾科技表示,慢雾假定所提供的文件不属于大家担心的任何一种情况,例如不存在、被篡改、被删减或隐藏,这也就是说,慢雾科技将会全方位保障币种的审计问题,这对于币种还有投资者来讲都是比较负责的,因此慢雾科技也成为了热度较高的审计公司之一。讲到这,大家还是好奇慢雾科技审计通过了有什么保障?下文211Coin小编为大家详细分析。
慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。
慢雾科技审计主要具备的就是安全审计、安全顾问、防御部署、威胁情报等作用,可以分为几个例子来具体介绍一下:
问题频发的假充值
1:最近频繁报出以太坊假充值,影响对象至少包括相关中心化交易所、中心化钱包、代币合约等,但代币合约统计有3619份存在假充值、漏洞风险,其中不乏知名代币,这种假充值一直频繁发生的原因是什么?
ABY:我们在6月28日披露了USDT假充值的漏洞,然后在7月9日披露的3619份基于以太坊的假充值,相当于是第二版。
USDT是Tether公司发行的一种稳定币,出现假充值的原因主要是交易所没有验证USDT里面的valid字段。当客户到交易所充值USDT币的时候,只是简单的检查了链上有没有这个交易,就把钱充进来了,但是这笔交易是失败的。
打个比方来说吧,一个人去银行存钱,但是我们只知道他是去了银行,到底存没存钱是不清楚的。这样就有假充值的可能。
2:出现问题是因为需要判断的操作很复杂吗?
ABY:其实一点都不复杂,并且USDT官方帐号有做说明,只是某些交易所的安全开发人员或者技术开发人员,没有注意到这个点。
他们可能按照之前其他一些币种的检验方式照做,但是USDT它有自己的一套机制。用固有思维去判断这件事情,没有深思每一个链或币背后的判断机制,结果出了问题。
3:在出现问题之后,交易所要验证相应字段了吗?
ABY:对。USDT的CTO也有联系我们,我们把相关问题推送给了他们。他们认为这个不一定是漏洞,可能是交易所没有做完善的判断,并且他们之后也提醒了这些交易所一定要判断这个字段,在技术中也强调了这个东西。
交易所在充USDT币的时候一定要去看这个字段,已经变成了行业的标准。
方案一:主网安全审计
从P2P网络、RPC交互、共识账本、加密算法、账号及交易结构等层面排查审计目标是否存在已知的公链安全漏洞,采用“黑盒+灰盒”的策略,以最接近真实攻击的方式对项目进行完整的安全测试。
举个例子:日食攻击,通常是由于节点的P2P通信被恶意节点完全占据,导致无法连接到正常的对等节点,这时我们可通过审查源代码里P2P相关模块,查看节点的最大连接数、单机允许的最大连接数等参数,是否在一个合理的范围,如果处于一个易受攻击的范围那就存在较大的风险,比如未限制单个IP的连接数,导致一个恶意主机可对任意节点发起日食攻击。
这种审计方法的特点是审计时长可控,可快速发现问题,避免项目出现常见的漏洞,我们推荐多数项目进行一轮全面的主网安全审计。
方案二:交易所上币审计
此方案审计方法与主网安全审计相同,不同的是审计条目更精简,主要关注账号和交易安。这种审计方案的特点是审计时长最短,成本较低,适合基于成熟项目二次开发的公链,例如基于bitcoin-core/go-ethereum/bitshares/EOSIO等。
方案三:源代码安全审计
源代码审计可以是全量代码,也可以是部分模块。
慢雾团队采用“白盒”策略对目标代码的安全测试。
方案四:社区定制审计方案
我们根据一些公链的特点,定制了安全审计方案,例如波卡(Polkadot)和Cosmos。
以波卡为例,波卡生态项目使用Substrate作为开发框架,开发者可以不用关注底层网络及账本等的实现方式,专注于业务逻辑的实现,我们根据这种情况,舍弃掉了公链审计项目中关于网络层、共识层、密码学等底层模块,增加了一些更加细致的审计条目。
以上内容详细分析了慢雾科技审计通过了有什么保障?在过去的几年时间内,慢雾科技已有近百个知名公链项目通过慢雾的不同类型公链安全审计,例如:PlatON、BHD、Acala、Eden、Metis等,通过在审计过程中的互动,开发团队更加系统地认识到公链安全体系的构建方法,增强了主网的安全性和健壮性,提高用户对项目的认可,现在主要是通过四种方式提高审计的安全性,所以慢雾科技还是一个不错的平台,大家也可以到211Coin网站进一步了解。
好文章,需要你的鼓励
Copyright © 2018-2022 211COIN版权所有.