根據慢霧科技發布的《2022 區塊鏈安全與反洗錢分析年度回顧》報告,2022 年安全事件共 303 件,損失高達 37.77 億美元。雖然今年的安全事件損失金額相比 2021 年的 97.95 億美元下降約 61%。但是在被攻擊事件中,智能合約漏洞仍然是重災區,原因是智能合約具有一旦部署上線,便立即生效,不能隨意改變的特性。因此智能合約審計,是每個項目上線前都需要進行的流程操作,即使是上線後,項目方也需要不斷監測項目情況,以便對意外情況及時做出反應,減少損失。
因為區塊鏈的黑暗森林法則,區塊鏈安全賽道也成為了資本重點關注的方向,同時智能合約安全分析工具這個分支賽道已經成為安全解決方案公司的競爭重點,比如近期 MetaTrust 就剛完成了約一千萬美元的種子輪融資,旨在為用戶提供全智能合約自動掃描服務。由此可見,整個區塊鏈安全市場都在朝著工具掃描與人工審計相結合的方向前進。那麼智能合約安全分析工具當前賽道的發展現狀如何,這些項目有哪些特性,當前存在哪些問題,未來發展如何演變… 帶著這些問題,本份研報為你逐項論述。
作者:Sissice,Web3Caff Research 研究員(研究方向為 Web3 及區塊鏈安全)
封面: Photo by Resource Database on Unsplash
目錄
- 傳統安全和 Web3 安全的區別
- 為什麼需要進行智能合約審計
- 智能合約審計的流程
- 智能合約分析工具的利弊
- 智能合約部署前的安全分析
- 自動分析方法
- 靜態分析
- 模糊測試
- 符號執行
- 形式化驗證
- 開源工具
- Slither
- Echidna
- Manticore
- 安全服務公司
- Certik
- ConsenSys Dilligence
- Quantstamp
- 成都鏈安
- 自動分析方法
- 智能合約部署後的安全分析
- Certik
- Tenderly
- Harpie
- Go Plus
- MistTrack
- 未來展望
- 參考文獻
