本文主要介绍了智能合约和形式化验证。什么是智能合约?一个智能合约是一套以数字形式定义的承诺,包括合约参与方可以在上面执行这些承诺的协议。在区块链技术领域就是一段运行在区块链上的有多方参与的代码。最经典的例子是公开拍卖。智能合约可以看做一个解决某个问题的程序,但是因为运行在区块链上,因为区块链的不可逆转特性,所以需要较一般程序更高的安全性要求,需要更严格的方法确保安全。
举个利用智能合约进行游戏的例子,现在有两个人A,B在玩游戏,两人先分别抵押2比特币,然后再下注一比特币,然后A和B分别在0和1里面进行选择一个数字,分别退回他们的押金,然后如果他们两个人选的数字相同,则A得到两个比特币,如果数字不同,则B得到两个比特币。现在我们只考虑A,A要么在一定时间内向全网广播一个他选择的value的哈希值,然后广播他的value,要么在过了一段时间t之后,没有反应而因为超时受到惩罚,即其押金会转移给B。我们可以利用智能合约完成这样的一个有着明确规则的过程。软件测试软件测试的标准定义:在规定的条件下对程序进行操作,以发现程序错误,衡量软件质量,并对其是否能满足设计要求进行评估的过程。主要过程包括静态分析测试、动态分析测试、黑盒测试和白盒测试黑盒测试不用考虑内部结构,是从使用者的角度进行的测试
安全团队:FTX交易所遭到gas窃取攻击事件技术分析:10月13日消息,据Beosin EagleEye Web3安全预警与监控平台的舆情消息,FTX交易所遭到gas窃取攻击,黑客利用FTX支付的gas费用铸造了大量XEN TOKEN。Beosin安全团队第一时间对事件进行了分析,结果如下:
1.以其中一笔攻击交易为例
(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69),攻击者先在链上部署攻击合约(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)
2.FTX热钱包地址会向攻击合约地址转入小额的资金,利用攻击合约(0xCba9...7FD3)进行批量创建子合约。由于整个攻击中创建了大量合约,并且每次执行完子合约之后,子合约都会自毁。
3.接下来子合约fallback()函数去向Xen合约发起铸币请求,如下函数,claimRank()函数传入一个时间期限(最小1天)进行铸币,铸币条件是只用支付调用gas费,并无其他成本,并且claimMintReward()函数为提取函数,该函数只判断是否达到时间期限(本次黑客设置的时间期限为最小值1天),便可无条件提取。但在此次调用过程中,交易发起者为FTX热钱包地址,所以整个调用过程的gas都是由FTX热钱包地址所支付,而Xen铸币地址为攻击者地址。
4. 1-3中的步骤,重复多次,并且每次重复过程中都会将已到期的代币提取出来,并且同时发起新的铸币请求。
截止发文时,通过Beosin Trace追踪发现,FTX交易所损失81ETH,黑客通过DODO,Uniswap将XEN Token换成ETH转移。[2022/10/13 14:26:15]
DOGE最大的持有者今日将38.4亿枚DOGE转入“DDuXGM”地址:金色财经报道,据Lookonchain监测,DOGE最大的持有者今日将38.4亿枚DOGE转移至“DDuXGM”的地址。
据检查,该地址目前是DOGE的第5个持有者。[2022/12/20 21:55:59]
白盒测试需要对程序内部考虑,程序执行流程图内的每一条路径都要考虑到,每个分支语句,每个判断语句都要分别进行测试一个软件测试的进行分为制定测试计划->进行测试设计->测试开发->执行测试->测试评估等过程如果要正确的进行黑盒测试,软件规格说明书一定要正确,但是但很难完全正确,同时不可能对程序进行毫无遗漏的测试如果要正确的进行白盒测试,测试用例要全面,但是代价昂贵,容易遗漏以上所说的黑盒测试和白盒测试会占用大量的人力物力财力,庞大的工作量产出繁杂的报告,但是正确性得不到完全保证。一般的软件开发,项目经常延误,预算经常超支。开发的后续阶段会发现很多前期错误,代价高昂,更可怕的是,如果是运行了很久的智能合约,很有可能会发生类似于DAO漏洞的重入攻击。
y00ts:mint t00b #647以超500 SOL价格售出,高出地板价近4倍:9月12日消息,据推特用户@purewisdom{246}透露,y00ts:mint t00b #647已经以500.02SOL的价格售出,约合17,500美元,该价格高出地板价近4倍。
此外,社区分析这笔交易疑似通过Solana生态NFT交易平台Yawww完成的。[2022/9/12 13:24:02]
DAO漏洞的原因:在以太坊上运行的智能合约在涉及到以太币的转移时,如果合约内部没有处理以太币转移的函数,则会自动调用fallback函数,当恶意用户在智能合约的fallback函数再次转移以太币时,会形成转移以太币然后调用fallback函数的循环,导致合约内的以太币不断转入用户地址。形式化验证目前形式化方法的主要研究对象是计算机系统的设计和验证,其主要目的是帮助工程师构造正确可靠的计算机系统,形式化方法最基本的特点是利用数学的概念、方法和工具来解决设计的正确性问题,作为形式化方法的主要数学基础包括各种逻辑学、集合论、代数理论、图论。我们举coq的例子为例,如果要证明对于任意布尔变量,not(notb)=b,如果b是布尔变量,我们可以先destruct,将b分解为0,1,对两个值分别求结果进行验证。继续举刚才的游戏例子。比特币对智能合约的支持并不是很好,一般是通过比特币脚本在比特币系统加入智能合约。所以,《BitML:ACalculusforBitcoinSmartContracts》论文即是对于比特币系统上的智能合约建立的形式化验证语言。下面是《BitML:ACalculusforBitcoinSmartContracts》论文中形式化验证的例子:
0x56D8开头Nomad攻击者地址将2.3万枚ETH、712万枚DAI转移至新地址:8月25日消息,据欧科云链OKLink多链浏览器显示,Nomad攻击者地址之一(0x56D8开头地址)已将2.3万枚ETH、712万枚DAI转移至开头为0x6496的新地址,目前该地址下资产余额约1662枚ETH。
此前消息,开头为0xB5C5的另一Nomad攻击者地址曾将103枚WBTC、1100枚以太坊和约345万枚DAI转移至0xAB96开头的新地址。[2022/8/25 12:47:09]
在其特定编译器里,上述代码的意思是PayOrRefund函数有两种结果,要么在A的允许下,B将合约中的比特币拿走,要么,在B的准许下,A将合约中的比特币拿走。
上述代码的意思是:当A和B都因超时而违规时,需要管理人员的介入,在上述例子中,0.1比特币将转入管理人员M的账户中,余下的0.9比特币将在M的授权下,进入A或B的账户。
上述代码的意思是我们上述合约的形式化:首先,如果B没有违规,在规定时间内向全网广播了其value的哈希值和value值,那么B可以收回押金。同理,A也一样。当A,B都广播了其哈希值和value值时,如果value值相同,则A可以获得2比特币,如果value值不同,则B可以获得2比特币。对于上述的形式化语言,论文中自行设计了一个编译器,用来专门编译上述的语言。形式化验证对智能合约的意义形式化验证并不能完全确保系统的性能正确无误,但是可以从逻辑上最大限度地理解和分析系统,并尽可能地发现其中不一致性、模糊性、不完备性等错误。形式化验证可用来消除高风险代码漏洞。形式化验证对软件测试的意义减轻人力物力的使用相比于其他测试,形式化验证更加可靠公众号:DegameLabs链游实验室,专注于区块链游戏新玩法,行业解读,游戏咨询,技术分享,更多精彩内容请关注公众号。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。