近日,BUGX.IO联合玄猫安全实验室出具了区块链领域智能合约安全评级标准,此次合作是BUGX.IO深入智能合约代码审计的一次重要举措,同时也是玄猫安全实验室在研究深度上的一次突破。
此次评级标准是从分析智能合约的特点后,确定衡量智能合约的一级基本指标,并通过细化的二级指标进行考量。将各指标的结果通过标准化处理,通过相应评分计算方法进行量化评分。最终评定智能合约安全性的级别。
此次评级标准中的一级指标包括了计算安全、访问控制、通证或余额管理、代码逻辑、拒绝服务防范、条件竞争防范、代码规范性、随机性安全、其他因素等9种指标,以及通过这9种指标细化出的35种二级指标。每项指标都对应了相应的影响分值,通过安全性评分方法在安全性分、基础分、指标风险等角度进行计算,得出最后的结果。
安全性等级划分如下:
安全性评级
含义
安全性指数
AA
智能合约安全性极高,能保证长期稳定的使用。
70-100
A
智能合约安全性很高,能保证基本安全的使用。
50-70
BB
智能合约安全性较高,较少安全风险。
40-50
B
智能合约有一定风险,可能出现安全问题,请按需使用。
30-40
CC
智能合约安全性较差,很可能出现安全问题,请谨慎使用。
20-30
C
智能合约安全性很差,不推荐使用
10-20
D
无法保证任何安全。
0-10
通过以上评级方案,我们在BUGX.IO区块链安全服务平台对以太坊中的近8000个智能合约进行了专业性评级,其中大部分智能合约的评级都分布在BB~CC等级之间,具体详见:https://www.bugx.io/risk
如下图所示,截取了BUGX.IO平台智能合约风险指数的部分内容。“安全评级”为上表所示的“安全性评级”,而第二列所展示的“风险指数”不仅是针对智能合约的评分指标,而且是后续我们对钱包、交易所等其他区块链应用的通用评分指标。在此处智能合约板块中,风险指数=100-安全性指数。
智能合约是区块链底层技术在合约层的实施,是一个成熟区块链底层最重要的特性。自区块链2.0时代,到如今大步迈进的区块链3.0时代,智能合约的应用已经不仅仅局限于公链、钱包,而是更广泛的应用场景。相应的,行业的井喷期,安全是事故的发生频率也越来越高,隐私泄漏、交易的溢出与异常、拒绝服务攻击,遭受该类型攻击的智能合约可能永远无法恢复正常工作状态。
关于智能合约的安全事件,众人皆知的Parity Wallet智能合约存在的访问控制缺陷,Parity多重签名钱包被盗,损失约150000ETH(大约价值3000万美元);以太币的去中心化组织The Dao 被黑,价值逾5000万美元的ETH外溢出Dao的钱包等等。并且,据相关数据统计,在以太坊中,有87%的智能合约代码都或多或少都存在安全漏洞或隐患。这一切都证明了安全审计是智能合约正常运行前的必要步骤。安全评级不仅是厂商对自身产品的的一次检测,更是对于用户的一种责任。
因此,此次BUGX.IO与玄猫安全实验室的合作,将智能合约安全评级正式化、专业化的进行标准输出,为区块链行业的安全生态的建设进一步贡献力量!
关于BUGX.IO
#p#分页标题#e#
BUGX.IO是一家区块链安全服务平台。专注于区块链生态安全、行业解决方案、安全建设、红蓝对抗等领域。BUGX.IO生态系统是一个分布式专业安全服务平台,致力于通过人机结合的方式,为区块链生态厂商提供安全解决方案。平台通过安全社区与区块链之间的连接,鼓励安全专家对区块链生态应用合法安全测试,自动化审计协议依赖于去中心化的区块链网络,缓解整个流程中可能的恶意行为,为人工和自动化安全检测提供所需的算力和可靠的信用保障。
商务合作请联系:info@bugx.io
区块链安全众测平台地址:
关于玄猫安全实验室
玄猫区块链安全实验室专注区块链安全领域,致力于提供区块链行业最专业的安全解决方案,团队成员来自于百度、阿里、360等国际顶尖安全团队,已为数十家交易所、电子钱包、智能合约等提供基础安全建设、渗透测试、漏洞挖掘、应急响应等安全服务。
商务合作请联系:tt@xuanmao.org