客服QQ:872490018

慢雾科技发布「Cosmos 应用链安全审计服务」

数字货币领域正在经历前所未有的机遇与挑战,其中一个挑战是日益增长的黑客攻击事件。和传统软件工程不一样的在于,区块链底层项目几乎是个全新的场景,包括安全在内的许多基础设施都在发展完善中。在全球范围内,区块链底层项目普遍缺乏国家力量的监管与背书,一旦发生黑客攻击事件,由于去中心化特性,溯源变得更加困难。


慢雾科技发布「Cosmos 应用链安全审计服务」-碳链

根据“SlowMist Hacked”(https://hacked.slowmist.io)的统计数据,历史上有数十个区块链底层项目公开披露遭遇到攻击,累计造成的损失达数千万美金,并且从 2017 年以来攻击的趋势愈发显著,众多明星项目遭受攻击后产生巨大的负面影响。

 

慢雾安全团队对比特币、以太坊、门罗币等公链拥有丰富的安全研究经验,在 P2P 通信、RPC 调用、密码学组件、共识机制、资产交易等关键模块的安全上拥有深厚的积累,曾对外披露以太坊黑色情人节等全球性安全攻击大事件,还曾对外开放了 EOS 超级节点安全执行指南、唯链核心节点安全执行指南、本体北斗共识集群安全执行指南,在公链安全架构方案方面具备强大的领先优势。


慢雾科技发布「Cosmos 应用链安全审计服务」-碳链

目前,慢雾科技已为 30 多家公链项目提供了安全审计服务,保障着众多公链的安全、可持续发展。在服务过程中我们发现,基于 Cosmos SDK 开发的链(简称:Cosmos 应用链)存在许多独特的安全风险,如果没有对 Cosmos SDK 各模块进行深入研究,可能会踩坑导致遭受攻击带来损失。


慢雾安全团队对 Cosmos SDK 进行了全面、深入的安全研究及攻防实战,结合在比特币、以太坊、EOS 等公链上积累的安全研究经验,我们总结了一份针对 Cosmos 应用链的安全审计方案。


1. 审计标准

编号

安全审计大类

子类

1

静态代码检查

内置函数安全

标准库安全审计

第三方库安全审计

注入审计

序列化算法审计

内存泄露审计

算术运算审计

资源消耗审计

异常处理审计

日志安全审计

2

激励层安全审计

经济模型安全评估

交易所充值安全审计

3

一致性安全审计

并发安全审计

Cosmos 对象安全使用审计

全局变量安全使用审计
非确定性库审计
Map 类型使用审计
参数验证审计
键值对读写审计

错误处理审计

4

密码安全审计

随机数生成算法审计

密码学组件调用审计

哈希强度审计
交易延展性审计

加解密算法模糊测试

5

代码合规审计

代码相似度审计

功能完成度审计

Cosmos SDK API 使用规范审计

6

智能合约层审计

参照《慢雾智能合约安全审计方案》

https://slowmist.com/service-smart-contract-security-audit.html

2. 审计方法

黑盒:站在外部从攻击者角度进行安全测试

灰盒:假设攻击者已经获得出块节点控制权时的安全测试,需要项目方紧密配合

白盒:基于开源、未开源代码,对节点、SDK 等程序进行漏洞挖掘

 

慢雾安全团队将采用“黑灰为主,白盒为辅”的策略,以最贴近真实攻击的方式,对项目方进行完整的安全测试。

3. 审计项威胁等级分类标准

I. 漏洞

a) 严重

b) 高危

c) 中危

d) 低危

II. 弱点

指此时此刻的场景下没法被攻击者直接利用,但可能在未来某个时刻或场景被利用造成损失。

III. 增强

指现在及未来没法被攻击者利用,但从安全角度建议优化的。

4. 应用场景

解决常见的安全漏洞

规避可能出现的安全风险

增强公链在未来持续发展中的健壮性

欢迎点击阅读原文查看慢雾科技「Cosmos 应用链安全审计服务」详细介绍,有审计需求的项目方欢迎联系慢雾安全团队邮箱 team@slowmist.com 沟通审计合作。

往期回顾

慢雾科技成立两周年,感恩所有同行的伙伴

HyperPay 钱包通过慢雾安全审计,双方达成安全战略合作

PlatON 通过慢雾安全审计,双方达成安全战略合作

慢雾:2019 年度区块链安全与隐私生态大事记

喜讯 | 慢雾科技通过“国家高新技术企业”认定

慢雾(SlowMist)对2020年区块链世界的一点思考




慢雾科技发布「Cosmos 应用链安全审计服务」-碳链

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/3778.html
发表评论
坐等沙发
相关文章
YFI创始人:做DeFi让我心生畏惧,请谨慎使用
YFI创始人:做DeFi让我心生畏惧,请谨慎…
慢雾为香港浸会大学金融硕士课程赞助“慢雾网络安全奖”​
慢雾为香港浸会大学金融硕士课程赞助“慢…
一个知名区块链游戏工作室是如何倒闭的?
一个知名区块链游戏工作室是如何倒闭的?
提问有奖·波卡是否有机会超越以太坊?
提问有奖·波卡是否有机会超越以太坊?
DeFi热潮下的安全隐患:流动性危机恐将造成连锁反应 | 非正式会谈
DeFi热潮下的安全隐患:流动性危机恐将…
慢雾:YFValue,一行代码如何锁定上亿资产
慢雾:YFValue,一行代码如何锁定上亿资产
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    115

  • 评论

    0

广告赞助