2. 程式人生 > >《我學區塊鏈》—— 三十四、以太坊智慧合約靜態安全分析

《我學區塊鏈》—— 三十四、以太坊智慧合約靜態安全分析

阿新 發佈:2018-12-18

三十四、以太坊智慧合約靜態安全分析

       以太坊的智慧合約程式碼審計,筆者找到兩種方式:一是 CertiK,一個提供智慧合約安全服務的區塊鏈平臺,是一條公鏈系統,採用 PoP(proof-of-proof)共識機制,用來分析合約需要消耗該區塊鏈平臺的原生數字幣;二是使用本地化的靜態安全分析工具。本篇將主要介紹本地化的靜態安全分析工具。

       靜態安全分析工具主要有 Oyente、Maian、Mythril。Oyente 是 DAO 漏洞發生後,由某團隊研發並開源的,目前基本上已經過時。Maian 是一款更先進的工具,但團隊擔心工具被攻擊者非法利用,因此並未開源。Mythril 借鑑了前面兩個工具的優點,且已經開源,本篇就是這款工具的使用介紹,通過 Docker 方式使用,還是比較方便的。

一、下載映象

docker pull mythril/myth

二、編譯合約獲取 Bytecode

       如果是用 truffle 構建的合約專案,使用以命令進行編譯:

truffle compile

       之後在 build 目錄,找到合約的 json 檔案,其中就可以找到 bytecode:

{
  "contractName": "Airdrop",
    ...
  "bytecode": "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"
 
,
    ...
}

三、呼叫容器分析合約

docker run mythril/myth -xc 0x608060...f0029

四、檢視分析結果

       以筆者的合約為例,也許比較簡單,編寫也比較規範,並沒有掃出什麼問題來。

The analysis was completed successfully. No issues were detected.

相關推薦

區塊》—— 智慧合約靜態安全分析

三十四、以太坊智慧合約靜態安全分析        以太坊的智慧合約程式碼審計,筆者找到兩種方式:一是 CertiK,一個提供智慧合約安全服務的區塊鏈平臺,是一條公鏈系統,採用 PoP(proof-of-proof)共識機制,用來分析合約需要消耗該區塊鏈平臺的原生

區塊》—— 批量轉賬(空投)節省費用

三十五、智慧合約收發 ETH 詳解        前段時間 fcoin 的空投把 eth 堵得不成樣,看見好幾個空投竟然是一個個地 transfer轉賬,但是實際上如果用合約實現批量轉賬,不管是成功率還是效率都會高很多,還省 gas。        整個過程的模

區塊學習(truffle開發框架的安裝使用

注意,區塊鏈技術在發展,以太坊的專案迭代速度也很快,現在的truffle的框架命令已經與一月份有很大不同了,我參照網上別人的部落格經驗,由於版本不同,當時的命令已經有所改變,也給我帶來很大困惑,總以為自己哪個步驟安裝的不對。建議大家最好參照官方文件,獲取最新版本的最新性

區塊安全--智慧合約靜態分析

作者:高峰 黃紹莽(來自 360 IceSword Lab) 概述 目前,以太坊智慧合約的安全事件頻發,從The DAO事件到最近的Fomo3D獎池被盜,每次安全問題的破壞力都是巨大的,如何正確防範智慧合約的安全漏洞成了當務之急。本文主要講解了如何通過對智慧合約的靜態分析進而發現智慧

區塊學堂》第課:智慧合約實戰(附課程視訊)

既區塊鏈學堂第二課:以太坊架構和工具之後,時隔一週的4月2日區塊鏈學堂推出了第三課:以太坊智慧合約實戰。 本期主要介紹了以太坊智慧合約程式設計基礎及實戰。 從這一期開始我們區塊鏈學堂會在鬥魚進行直播,方便不能到現場聽課的朋友們。 以下一些現場照片,課程視訊和PPT在最後。

區塊,使用 Go-Ethereum 搭建私有

區塊鏈 私有鏈 以太坊 go語言 1、什麽是Ethereum(以太坊)  以太坊(Ethereum)並不是一個機構,而是一款能夠在區塊鏈上實現智能合約、開源的底層系統,以太坊從誕生到2017年5月,短短3年半時間,全球已有200多個以太坊應用誕生。以太坊是一個平臺和一種編程語言,使開發人員能夠

區塊學習--win10下構建

以太坊私鏈環境搭建構建以太坊私鏈1、環境是win10,下載對應的最新版本Ethereum-Wallet-win64-0-10-0.ziphttps://github.com/ethereum/mist/releases 2、解壓到指定目錄即可,運行Ethereum-Wallet初始化數據,私鏈搭建無需同步 3

[區塊]1.Ubuntu Geth 搭建私有環境

  前言 1.1 本文基於Ubuntu 作業系統。 1.2 geth的全稱是go-ethereum,是一個以太坊客戶端,用go語言編寫,應該是目前最常用的客戶geth。 1.3 ubuntu預設root用不啟用的,終端下輸入sudo passwd root(即

區塊技術進階-深入詳解智慧合約語言 solidity(含原始碼)-熊麗兵-專題視訊課程...

區塊鏈技術進階-深入詳解以太坊智慧合約語言 solidity(含原始碼)—103人已學習 課程介紹         區塊鏈開發技術進階-深入詳解以太坊智慧合約語言 solidity視訊培訓教程:本課

區塊開發(二)部署並執行第一個智慧合約

        網路上不少部署智慧合約的文章,但是都有一個共同的特點,就是採用命令列的方式來部署,先是建立SOLC的編譯環境,然後部署Geth或者Eth節點,然後一步一步生成錢包、ABI、合約地址進行部署,對初學者來說晦澀難懂而且容易失敗,本文主要介紹如何在圖形化介面下一鍵部

區塊(智慧合約)與傳統軟體的區別

區塊鏈與傳統軟體設計有很多區別: 1. 區塊鏈是分散式的,而傳統軟體大多是中心化的 2. 區塊鏈通常有無數個備份(每個礦工處都會有一個完整的區塊鏈備份),而傳統軟體只會在單個或者若干個節點做備份 3. 區塊鏈是一個鏈式結構,在區塊鏈上的所有記錄都是可追溯且無法修改的,而

區塊2.0智慧合約solidity之helloworld

由於只能合約是放在區塊鏈上面的程式碼,這給我們的除錯帶來了很多的困難,還好有線上的編譯器:https://remix.ethereum.org第一個程式碼:pragma solidity ^0.4.4;contract Counter {uint count = 0;addr

區塊實踐(二) Geth入門操作

進入Geth 命令列模式 在上一篇文章中,我們說到,我們可以用下面命令,建立一個新的私有鏈 geth --datadir "./" --nodiscover console 2>>geth.log 進入命令列模式,其中引數 –datadi

區塊開發(七)錢包 Mist

簡單說明一下之前用Geth搭建的私有網路 建立鏈條的geth命令 geth --datadir "./" init genesis.json geth --datadir "./" --nodiscover console 2>>geth.log 在命令列模式

區塊開發(二)部署和執行第一個智慧合約

區塊鏈開發(二)部署並執行第一個以太坊智慧合約 李赫2016年8月22日 本文首發8BTC         網路上不少部署智慧合約的文章,但是都有一個共同的特點,就是採用命令列的方式來部署,先是建立S

區塊100講:智慧合約solidity如何節省GAS費?

1 摘要 在以太坊上,程式碼即法律,交易即金錢。每一筆智慧合約的執行,都要根據複雜度消耗一筆GAS費(ETH)。那麼,智慧合約solidity語言的編寫,不僅要考慮安全,也要考慮語言的優化,以便高效便宜了。 本文將從以下一些方面分析如何節約GAS的程式設計總結

區塊開發(六)系統下truffle構建智慧合約

truffle環境安裝 針對truffle 環境安裝這裡不多敘述,可以搜一下… 初始化 開啟終端建立一個目錄 mkdir test cd test truffle init 會生成檔案 新建合約檔案 然後可以用vscod

區塊實踐(一) 網路+geth搭建私有網路實戰

一、乙太網網路 理解以太坊 PrivateNetwork 先要理解以太坊的兩種官方網路, 目前以太坊官方提供了兩種網 生產環境網路 測試網路 TestNet ** 1 以太坊生產網路 以太坊的生產網路顧名思義,也就是產生真正有價值的 的以太幣的網路

區塊學習(二)學習簡介

很多人在剛接觸區塊鏈的時候疑惑以太坊是什麼東西,和區塊鏈有什麼關係,為什麼要學習以太坊等問題,本文將簡單介紹,目的是學習和理解以太坊方便以後深入學習。 這裡從區塊鏈的發展說起: 區塊鏈起源於比特幣,是比特幣的底層技術。具體介紹參照我對區塊鏈介紹的部落格:http://bl

區塊開發(八)truffle開發框架的安裝使用

下面介紹一下以太坊truffle開發框架的安裝使用,給大家提供一個參考。Ubuntu下安裝 truffle.一般truffle安裝的依賴環境有:Nodejs,git ,python,ubuntu下自帶python,這裡不做解釋。安裝git輸入一下命令:sudo apt-get