慢雾科技发布「Cosmos 应用链安全审计服务」

链讯作者：慢雾科技 2020-02-10 14:26:09 阅读：146

数字货币领域正在经历前所未有的机遇与挑战，其中一个挑战是日益增长的黑客攻击事件。和传统软件工程不一样的在于，区块链底层项目几乎是个全新的场景，包括安全在内的许多基础设施都在发展完善中。在全球范围内，区块链底层项目普遍缺乏国家力量的监管与背书，一旦发生黑客攻击事件，由于去中心化特性，溯源变得更加困难。

根据“SlowMist Hacked”(https://hacked.slowmist.io)的统计数据，历史上有数十个区块链底层项目公开披露遭遇到攻击，累计造成的损失达数千万美金，并且从 2017 年以来攻击的趋势愈发显著，众多明星项目遭受攻击后产生巨大的负面影响。

慢雾安全团队对比特币、以太坊、门罗币等公链拥有丰富的安全研究经验，在 P2P 通信、RPC 调用、密码学组件、共识机制、资产交易等关键模块的安全上拥有深厚的积累，曾对外披露以太坊黑色情人节等全球性安全攻击大事件，还曾对外开放了 EOS 超级节点安全执行指南、唯链核心节点安全执行指南、本体北斗共识集群安全执行指南，在公链安全架构方案方面具备强大的领先优势。

目前，慢雾科技已为 30 多家公链项目提供了安全审计服务，保障着众多公链的安全、可持续发展。在服务过程中我们发现，基于 Cosmos SDK 开发的链（简称：Cosmos 应用链）存在许多独特的安全风险，如果没有对 Cosmos SDK 各模块进行深入研究，可能会踩坑导致遭受攻击带来损失。

慢雾安全团队对 Cosmos SDK 进行了全面、深入的安全研究及攻防实战，结合在比特币、以太坊、EOS 等公链上积累的安全研究经验，我们总结了一份针对 Cosmos 应用链的安全审计方案。

1. 审计标准

编号	安全审计大类	子类
1	静态代码检查	内置函数安全
		标准库安全审计
		第三方库安全审计
		注入审计
		序列化算法审计
		内存泄露审计
		算术运算审计
		资源消耗审计
		异常处理审计
		日志安全审计
2	激励层安全审计	经济模型安全评估
2	激励层安全审计	交易所充值安全审计
3	一致性安全审计	并发安全审计
		Cosmos 对象安全使用审计‍‍
		全局变量安全使用审计
		非确定性库审计
		Map 类型使用审计
		参数验证审计
		键值对读写审计
		错误处理审计
4	密码安全审计	随机数生成算法审计
		密码学组件调用审计
		哈希强度审计
		交易延展性审计
		加解密算法模糊测试
5	代码合规审计	代码相似度审计
		功能完成度审计
		Cosmos SDK API 使用规范审计
6	智能合约层审计	参照《慢雾智能合约安全审计方案》 https://slowmist.com/service-smart-contract-security-audit.html