如果你對區塊鏈技術感興趣的話,可能聽說過很多攻擊者利用程序代碼中的漏洞而導致的大量資金被盜事件。例如,2016 年臭名昭著的 DAO 攻擊事件,攻擊者利用一個名叫「重入」的漏洞超額提取了他們原本所能提取的資金。另一個更近期的事件是閃電貸攻擊,發生于 2022 年 4 月 17 日,造成 1.82 億美元的資金損失。雖然所有攻擊都源于底層源代碼的安全漏洞,但好消息是現在已經有能夠檢測此類漏洞的程序分析技術。在接下去的幾篇博文中,我們會解釋程序分析是什么,以及它如何幫助在部署前捕獲安全漏洞。
程序分析指的是一類用于檢測程序中安全漏洞的技術。程序分析有兩種主要形式,動態和靜態。動態程序分析的目標是通過執行程序來檢測問題,而靜態程序分析則無需運行程序本身就可以對源代碼進行分析。然而,在這些技術之中,只有靜態分析能夠確保程序中不存在漏洞。相反,不同于靜態分析,動態分析能證明問題的存在,它并不能夠證明漏洞并不存在。
加拿大就數據安全問題開始調查OpenAI公司:4月5日消息,加拿大隱私專員辦公室(OPC)4 日宣布開始調查 ChatGPT 背后的公司 OpenAI,涉及“指控 OpenAI 未經同意收集、使用和披露個人信息”的投訴。意大利數據保護局(GaranteperlaProtezionedeiDatiPersonali)上月底暫時禁用 ChatGPT,并對該工具涉嫌違反隱私規則展開調查。該機構認為,3 月 20 日 ChatGPT 平臺出現了用戶對話數據和付款服務支付信息丟失情況。此外平臺沒有就收集處理用戶信息予以告知,缺乏大量收集和存儲個人信息的法律依據。[2023/4/5 13:46:09]
乍一看,靜態分析聽起來似乎很神秘:表面看來,靜態分析似乎違反了一個被總結為萊斯定理「Rice's theorem」的基本原則,該定理聲稱程序的每一個非平凡性質都是不可判定的。在此,語義屬性是關于程序行為的屬性(與語法屬性不同),而非平凡性質是指只有某些程序擁有而其他程序沒有的性質。與我們手頭話題更相關的是,安全漏洞的存在是非平凡性質的一個典型例子。因此,關于「這個程序是否存在安全漏洞」這一問題,萊斯定理告訴我們沒有一個算法能夠終結并準確回答這一問題。
聲音 | 人民創投:區塊鏈安全問題不容小覷:今日人民創投發文稱,一度充斥著“造富神話”的數字貨幣市場趨涼,以區塊鏈技術為噱頭的泡沫漸漸消逝,安全的問題也一步步凸顯出來。安全是技術發展的根基,一行代碼葬送一個項目的事情頻頻發生,向我們敲響了警鐘。只有在安全問題上防微杜漸慎之又慎,被寄予厚望的區塊鏈技術才能越走越遠。[2018/9/12]
那么,靜態分析的可行性源自哪里呢?答案藏于以下的觀察:沒錯,沒有一個算法能夠準確地給出是或否,但可以有一個算法在程序有安全漏洞時總是會回答「是」,在程序沒有安全漏洞時算法有時可能也會回答「是」。換句話說,只要我們愿意容忍一些誤報,我們就可以繞過賴斯定理和不可判定性。
央行姚前:智能合約安全問題非常重要 區塊鏈缺乏完善治理機制:中國人民銀行數字貨幣研究所所長姚前表示,TheDAO被黑事件折射出兩個問題:一是智能合約尤其是公有鏈的智能合約的安全問題非常重要,出現漏洞或錯誤后,無法像中心化系統那樣通過關閉系統、集中升級的辦法進行修復。另外一個問題,即現有區塊鏈缺乏一套完善的治理機制,當社區面臨重大決策事件時,如何讓社區參與進來,以某種機制形成社區意見,最終在區塊鏈上表達出來。[2018/6/14]
讓我們以高一維度的視角來看看靜態分析是如何運作的。靜態分析的基本原理是將程序所處的狀態集合進行過近似「over-approximate」。我們將程序狀態視為從變量到值的映射。一般來說,不存在一個算法能夠明確也許是執行某一程序引起的確切程序狀態集。但可以近似該集合,如下圖所示:
超級現金(HSR)CEO對區塊鏈行業的信息安全問題發表看法 :
紅燒肉(HSR)CEO 參加了第13屆國際信息安全會議ISPEC 2017,對區塊鏈行業的信息安全問題發表了自己的看法。超級現金(HSR)現價15.99美元,跌幅達0.35%。[2017/12/14]
此處,藍色的不規則形狀對應在執行某些程序時可能出現的實際狀態集,紅色區域對應預示錯誤或安全漏洞的「壞狀態」。由于不可判定性,永遠沒有一個算法能夠準確表明藍色區域到底是什么,但是我們能設計一個算法以系統性的方式過近似這個藍色區域,如上面常規綠色區域所示。只要綠色和紅色的交集為空,我們就有證據證明程序沒有做壞事。然而,如果我們的過近似不夠不準確,可能會使得紅色區域重疊,即使藍色和紅色區域的交集依舊為空,如下圖所示:
這種情況會導致所謂的「誤報」,由于分析與真實問題不相應而報告的虛假錯誤。一般而言,靜態分析的圣杯是構造過近似,即 (1)過近似足夠準確因此我們在實際中不會獲得很誤報 (2)過近似的計算足夠有效率,因此分析可擴展到我們所關心的現實世界的程序。
附帶說明一下,還可以設計靜態分析算法來近似如下所示的程序行為:
在此情況下,綠色區域(通過靜態分析計算)包含在藍色區域內(表示實際狀態),和另一種方式正好相反。這種分析是不可靠的,意味著可能會漏掉真正的程序錯誤:正如我們在上圖所看到的那樣,綠色和紅色的交集為空,因此即使程序真的存在漏洞,分析也不會報告問題。這會導致所謂的假陰性,真正的漏洞被靜態分析給遺漏了。
大體來說,如果我們想獲得可證明的安全性,我們會想要可靠的從來不會有誤報的靜態分析器,同時還需要足夠精確,在實踐時不會報告太多誤報。然而,好消息是,幾十年的正統研究表明設計這樣的靜態分析器有可能的。下篇博文,我們會更詳細地介紹靜態分析器具體是如何運作的!
程序分析是一種有效的能夠捕捉各種程序中安全漏洞的技術,包括區塊鏈應用程序。此外,可靠的靜態分析器的過近似程序行為能確保整個類別中不存在漏洞。
撰文:Veridise
編譯:CCC
NFT、元宇宙的火熱還沒過去,Web3.0又被推到了人們的面前。有人說,兼具去中心化和交互性的Web3,正在嘗試打造一個全新的互聯網模式.
1900/1/1 0:00:00一些BUG導致NBA球迷們沒有得到該有的NFT,但聯盟表示將會補償他們。NBA向球迷投放18000個免費的NFT的計劃出現了問題.
1900/1/1 0:00:00又到了每月安全盤點時刻!據成都鏈安【鏈必應-區塊鏈安全態勢感知平臺】安全輿情監控數據顯示:2022年4月,各類安全事件數量較3月有所下降。4月發生較典型安全事件超『21』起.
1900/1/1 0:00:00鯨魚擁有所有的 alpha。它們總是領先一步。使用正確的工具,我們可以看到鯨魚的一切行為。而這些信息可以讓你變得富有。這是一份識別鯨魚和分析他們的交易如何影響市場的指南.
1900/1/1 0:00:00導讀:這個圈子,一切都是跟著價格(市場)走。曾經被鄙視的東西,隨著在市場上站穩了腳跟,都會在這個圈子“合法化”,從不入流到登堂入室.
1900/1/1 0:00:00與彭于晏一起健身是什么體驗?如今的虛擬技術真的能讓你得償所愿。國內著名的健身應用Keep已經開始嘗試與虛擬形象進行跨界健身互動.
1900/1/1 0:00:00