加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Pol幣 > Info

想保護自己的數字資產安全?形式化驗證給你答案_區塊鏈:COIN

Author:

Time:1900/1/1 0:00:00

導讀

繼上篇對當前數字資產領域的安全形勢進行了深度分析后,本文將介紹區塊鏈數字資產領域的安全措施與相關的解決方案。

區塊鏈技術是數字資產的新興載體。相較傳統互聯網,區塊鏈因其不可篡改、不滅失的特征,對安全性的事先驗證等程序機制提出了極高要求。

智能合約是新一代區塊鏈技術的標志性設計,它利用事先定義的接口和協議自動完成合約步驟。以太坊圖靈完備的特點在給了智能合約廣闊舞臺的同時,也背負了巨大的安全壓力。如何保證合約本身的可控性、可調度性,以及執行過程中的可信性,成為軟件安全和資產安全層面亟待解決的問題。

智能與安全無關

智能合約這個術語由密碼學家尼克·薩博在上世紀九十年代中期首次提出。他將其定義為:能夠自動執行合約條款的計算機程序。

合約語言的圖靈完備意味著,理論上,智能合約可以具備任何功能,執行所有計算。對合約功能的寬松限制不可避免地引入了更多危險。

OKX Web3錢包Web端Ordinals市場已正式支持銘刻功能:7月17日消息,OKX Web3錢包Web端Ordinals市場現已正式支持銘刻功能,包括銘刻圖片、批量銘刻文本、BRC20銘文等多種操作。[2023/7/17 10:59:59]

先回放一段經典案例。TheDAO事件可以說是智能合約發展史上的一場狂風暴雨。截止到2016年6月17日被攻擊之前,該眾籌合約已經募集了一億五千萬美金,攻擊者利用合約漏洞發動攻擊,導致300多萬以太幣資產被分離出TheDAO資產池。

這一切,都源于TheDAO智能合約中一個splitDAO函數的小小漏洞,攻擊者通過該漏洞,不斷的從資金池中分離資產給自己。

在該案例中,攻擊者僅利用了智能合約的不完備性,就成功竊取了資金池內近三分之一的資產。可見,在智能合約框架下,事先檢查合約本身是否存在機制漏洞,是安全問題的關鍵。一份安全、完備的智能合約應該具備如下功能:

Injective宣布主網與Pyth集成:金色財經報道,Cosmos生態智能合約平臺Injective宣布Pyth已與Injective主網集成。Injective dApps 現在可以訪問 Pyth 的任何鏈上數據,Pyth 是一個在鏈上發布連續真實世界數據的第一方金融預言機網絡,它引入了一種創新的低延遲拉式預言機設計。有了這個功能,Injective 上的 dApps 可以在需要時輕松訪問鏈上的可用價格,從而使區塊鏈環境中的每個人都可以訪問真實世界的資產數據。[2023/5/4 14:41:00]

編制模板框架,確定編程人員,保證代碼的準確性。最重要的是,技術層面的內容如何獲得合約雙方認可;合約驗證。任何程序都有bug,如果合約內容明顯有利于其中一方,需要進行修復,保證合約邏輯正確;合約定制。根據不同場景定制適配的智能合約模板,根據需求對合約進行組合,形成復合合約;合約一致性。檢驗智能合約的執行代碼與文本是否一致,不一致的合約可信度不高;執行過程中的可控性、可調度性和安全性。

廣州法院引用“綠色原則”判決涉虛擬貨幣“挖礦”合同案,認定合同無效:金色財經報道,廣州市天河區人民法院23日發布消息,近日,該院審理了一起有關虛擬貨幣“挖礦”引發的合同糾紛案件。法院一審認定合同無效,判決駁回原告的全部訴訟請求與被告的全部反訴請求。

法院審理后認為,某天公司與某馬公司簽署《戰略合作框架協議書》,屬于虛擬貨幣相關業務活動。且本案涉及的“挖礦”活動能源消耗和碳排放量大,對國民經濟貢獻度低,不利于中國產業結構優化節能減排,不利于實現碳達峰、碳中和的目標。因此,雙方簽訂的“挖礦”合同因有損社會公共利益、有違公序良俗應屬無效,由此產生的相關財產權益亦不應受到法律保護,上述行為造成的后果應當由當事人自行承擔。(中國新聞網)[2022/11/24 8:03:54]

形式化方法的引入

為了達到智能合約的理想狀態,Certik等行業先行者從硬件設計領域引入了形式化方法,即:用數學工具進行定義、開發和驗證。

MetaMask已支持通過Socket橋接資產:金色財經報道,據跨鏈基礎設施 Socket 在社交媒體發文,MetaMask 現已支持通過 Socket 橋接資產,首周已經產生了超過 6 萬筆交易和 2200 多萬美元的橋接資金,Dune Analytics 數據顯示目前 Socket Protocol 已成為 MetaMask 橋接交易最大交易來源之一。[2022/11/23 7:59:42]

硬件電路和軟件工程歸根結底都是數學問題。如果所有的設計開發都能按照嚴密的數理邏輯進行,那么開發出來的系統就會像數學本身一樣完美:永遠正常工作。

通俗地說,形式化方法就像一套完備的法律,規定了每個角色能做什么和不能做什么,并對角色之間的關系進行界定。類似于社會系統架構對不同角色進行分類,在承認個體天性的同時,使系統的復雜程度降低了多個維度。

形式化方法包括形式規約和形式化驗證兩個層面。

Jim Cramer:仍在研究Coinbase股票和加密貨幣:金色財經報道,前對沖基金經理、CNBC節目主持人Jim Cramer發推稱,他正在“研究”Coinbase Global Inc.(納斯達克股票代碼:COIN),Cramer表示他對Coinbase股票看漲。然而,自2021年11月最新的“加密貨幣冬天”開始以來,他一直看空加密資產和Coinbase股票。(cryptoglobe)[2022/8/6 12:06:35]

形式規約使用具有精確語法和語義的形式語言來刻畫系統行為和特性。在形式化的過程中對對象進行分類、識別和擬合。形式規約約束了系統的代碼組成,從系統設計流程上確保了輸入組合的有窮性。同時,它也是驗證系統正確性的依據。

形式化驗證則在形式規約的基礎上,建立系統行為及其與性質的關系,從而驗證該系統是否滿足預期的關鍵性質。這一過程可以和立法、司法程序類比,即:在對被審判人的權利、義務和其行為進行規范后,總是可以對他進行合理的判斷。

形式化方法應用于智能合約的整個生命周期。

傳統的合約開發并沒有成體系地引入形式化方法,因此,一般先用非正式規范來設計合約,然后用形式化規范力求準確地描述合約,并將合約引入形式化的空間。再通過模型檢驗工具檢查合約,或使用演繹法證明合約可被正常執行。最后,通過模型工具,將形式化空間中抽象的合約生成代碼,通過不斷測試生成序列,確保文本和程序代碼的一致性。

形式化的規約旨在理解合約代碼中內容的抽象本質,相當于對合約進行解讀。在驗證安全之后,通過使用可執行模型,將較高級別的抽象模型轉換為較低級別的代碼。

形式化方法使智能合約的生成和執行有了規范性約束,保證了合約的可信性,使智能合約的生產過程和執行效果得到了保障。

智能合約形式化驗證的原理

形式化驗證本身就是使用數學方法嚴格證明一個程序正確性的過程。

傳統的驗證方法主要是模擬和測試,即通過實驗對系統進行查錯。一般的方法是,在一端按系統要求或者自定義輸入,觀察在另一點的輸出。這種方法耗費大量的時間,而且由于實驗所能涵蓋的系統行為有限,很難找出所有的潛在錯誤。

馮.諾伊曼(VonNeumann)I948年發表的相關論文就對這一問題有所觸及,但未能提供解決方案。

1969年,托尼·霍爾提出了將程序正確性驗證形式化的命題。

形式化驗證方法可以檢查程序的各種屬性,如公平性、可達性、有界性和無狀態二義性等,從理論上對程序做了全面檢驗,合格即被認為安全。

在從理論到實踐的漫長過程中,形式化驗證演化出了很多不同的操作方法。目前一線的技術公司多采用模型檢測法,步驟如下:

建模。選擇合適的建模語言和建模工具,使用模型檢測工具能夠接受的形式語言來描述合約。描述。闡明所要驗證的合約性質,包括合約的狀態可達性、死鎖、活鎖、有界性等。驗證。對合約的狀態空間進行搜索,發現問題并進行修改,對合約進行迭代驗證。

模型檢測是對有窮狀態系統的一種形式化確認方法,其理論邏輯為:給定一個合約和規約,按照規約生成對應的合約模型,通過證明合約在模型中成立,以此證明合約滿足約定規則。

有窮狀態模型在建模時有一定難度,需要采集大量樣本,并在其中提取邏輯,但因為狀態是可窮的,可以保證搜索過程及時終止,因此,在工程上是實際的。

一些一線的技術公司已經將上述方法和流程應用到了區塊鏈智能合約的安全驗證上,但效果仍有待檢驗。

結論

形式化驗證理論過去一直服務于集成電路的功能驗證,發展多年,已經非常成熟。

智能合約是區塊鏈系統發展應用的重要內容,也是目前傳統網絡安全公司尚未觸及的安全盲區。市場已經發現了形式化驗證對于智能合約安全的重要性。然而,安全機制的建立從數學理論變成現實,仍然需要時間。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

加密谷Live

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3626862.html

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

文摘|EOSIODawn3.0現已推出

Tags:區塊鏈INJECTCOIN區塊鏈運用的技術不包括SHINJAProspectors Goldcoincheck交易所官網

Pol幣
5月22日 | 小蔥隔夜消息一覽_ETC:SDT

1.澳本聰提交原始比特幣白皮書美國版權注冊申請,分析稱注冊并意味者所有權。或受此消息影響,昨晚BSV短時爆拉,最高觸及195USDT,現回落至100USDT附近.

1900/1/1 0:00:00
Intel 再曝僵尸負載漏洞:直接獲取密碼、2011 年后電腦都受影響_LOAD:LOA

美國時間5月14日,安全研究人員在英特爾芯片中發現了一種新的漏洞,如果利用這種漏洞,可以直接從處理器中竊取敏感信息.

1900/1/1 0:00:00
條條大路通羅馬:實現數字貨幣雙花攻擊的多種方法_EOS:neos幣什么情況

2008年,中本聰提出了一種完全通過點對點技術實現的電子現金系統。該方案的核心價值在于其提出了基于工作量證明的解決方案,使現金系統在點對點環境下運行,并能夠防止雙花攻擊.

1900/1/1 0:00:00
倫敦成功追蹤黑客私匙,70 萬美元比特幣洗錢案告破_加密貨幣:ETH

在近期的一起案件中,倫敦成功從黑客GrantWest手中繳獲價值70萬美元的比特幣。 加密貨幣搜捕行動 據《今日美國》報道,25歲的黑客GrantWest不僅網絡攻擊了包括賭場、手機店和超市.

1900/1/1 0:00:00
5個能讓你的資產在一年內翻10倍的代幣_BTC:PieDAO DEFI Small Cap

BTC在2019年以來的表現一直優于黃金、標普等資產,今年以來上漲107.89%。給人牛市來臨的錯覺,湯姆李也在推特上表示:13個跡象表明加密市場的冬天已經結束.

1900/1/1 0:00:00
芬蘭批準《虛擬貨幣提供商法案》,5月1日生效_加密貨幣:BDC價格

芬蘭總統已經批準了一項監管加密貨幣服務提供商的新法律,監管范圍將覆蓋到加密貨幣交易所、托管錢包服務提供商、以及加密貨幣發行方.

1900/1/1 0:00:00
ads