根据慢雾科技发布的《2022 区块链安全与反洗钱分析年度回顾》报告,2022 年安全事件共 303 件,损失高达 37.77 亿美元。虽然今年的安全事件损失金额相比 2021 年的 97.95 亿美元下降约 61%。但是在被攻击事件中,智能合约漏洞仍然是重灾区,原因是智能合约具有一旦部署上线,便立即生效,不能随意改变的特性。因此智能合约审计,是每个项目上线前都需要进行的流程操作,即使是上线后,项目方也需要不断监测项目情况,以便对意外情况及时做出反应,减少损失。

因为区块链的黑暗森林法则,区块链安全赛道也成为了资本重点关注的方向,同时智能合约安全分析工具这个分支赛道已经成为安全解决方案公司的竞争重点,比如近期 MetaTrust 就刚完成了约一千万美元的种子轮融资,旨在为用户提供全智能合约自动扫描服务。由此可见,整个区块链安全市场都在朝着工具扫描与人工审计相结合的方向前进。那么智能合约安全分析工具当前赛道的发展现状如何,这些项目有哪些特性,当前存在哪些问题,未来发展如何演变 … 带着这些问题,本份研报为你逐项论述。

作者:Sissice,Web3Caff Research 研究员(研究方向为 Web3 及区块链安全)

封面:Photo by Resource Database on Unsplash

字数:本份研报超 6500 字,预计阅读时长 13 分钟

目录

  • 传统安全和 Web3 安全的区别
  • 为什么需要进行智能合约审计
  • 智能合约审计的流程
  • 智能合约分析工具的利弊
  • 智能合约部署前的安全分析
    • 自动分析方法
      • 静态分析
      • 模糊测试
      • 符号执行
      • 形式化验证
    • 开源工具
      • Slither
      • Echidna
      • Manticore
    • 安全服务公司
      • Certik
      • ConsenSys Dilligence
      • Quantstamp
      • 成都链安
  • 智能合约部署后的安全分析
    • Certik
    • Tenderly
    • Harpie
    • Go Plus
    • MistTrack
  • 未来展望
  • 参考文献