全球第三大项目代码审计公司Certik漏铜筛查

全球第三大项目代码审计公司Certik漏铜筛查

美国安全审计公司CERTIK完成Super Trister去中心化借贷协议TLC智能合约代码审计，并130发布9370安全6165审计报告，审计结果未发现重大或关键或主要漏洞。至此，Super Trister已通过包括成都BEOSIN链安科技在内的TLC智能合约代码“双审计”美国安全审计公司CERTIK是由来自耶鲁大学和哥伦比亚大学的科研团队携数十年研究成果成立，通过“深度规范”的形式化验证技术为应用和智能合约提供代码安全审计服务。目前，CERTIK已获币安孵化器数百万美金投资。

合约审计的目的主要是检查代码规范性、常规漏洞、安全漏洞、业务逻辑漏洞等关键是减少因代码导致的业务无法按预期正常运转，其次是保障资金的安全;第三方面也是体现智能合约部署后的“公平、公开、公正、透明”等。同时，也是以此减少遭受攻击的可能性。除此之外，还能将产品上线前将风险降到低。

“没有一个的安全系统”，这是网络安全领域的一句警语，也是对安全防护的戏谑自带属性，近年来，上到下至钱包、DAPP应用，无一不是的目标，其抓住这些平台代码的漏洞，进行攻击甚至这些平台一旦发生“盗币”事件，便很难找回资产。因此，代码安全审计尤为重要。

安全审计的内容包含译器版本安全审计、弃用项审计、冗余代码审计、require/assert使用审计、gas消耗审计、整型溢出审计、重入攻击审计、伪随机数生成审计、交易顺序依赖审计、拒绝服务攻击审计、函数调用权限审计、call/delegatecall安全审计、返回值安全审计、tx.origin使用安全审计、重放攻击审计、变量覆盖审计、业务逻辑审计、业务实现审计等，合约审计结果为全部通过。

据统计，2018年全球领域发生近百起安全事件，损失超20亿美元，相较于2017年增长了538的底层技术“”面临着来自数据层、网络层、共识层、激励层、合约层、应用层的安全风险，安全攻击方式层出不穷，防不胜防。安全攻击主要发生在应用层，其中智能合约是安全的重

之前发生的安全事件

MtGox事件

MtGox是当时，处理的交易占全球70%。2014年，MtGox遭遇了严重的攻击，随后MtGox宣布暂停交易，理由是其安全软件存在漏洞。两周后，网站突然关闭，MtGox申请产。

据MtGox估计，公司的投资损失约合4.8亿美元，其中包括客户的75万单位和公司自己持有的10万单位，合计约占全球发行量的7%。此次事件导致投资者信心受挫直接暴跌36%。

The DAO 事件

DAO，英文全称是Decealized Autonomous Organization，去中心化自治组织。这个去中心组织，依靠智能合约在上运行，没有法律实体，我们可以把它理解成“去中心化的公司”。The DAO则是公司Slock.it发起的一个项目。

2016年6月17日利用智能合约脚本漏洞，通过ICO代币发行）项目360万以太币，超过了该项目筹集的以太币总数目的三分之一。受此事件影响，以太币价格第二天暴跌约30%。

The DAO事件影响之大，甚至惊动了美国SEC，虽然他们不是来调查是谁偷走了那些代币。不过，这也对之后的代币项目产生了很大影响，项目方也会更注意法律风险。

在的安全事件中，大多都是由于源代码存在漏洞而使趁虚而入。智能合约受到本身保护，所以智能合约代码可以的开源和让人阅读。但是代码的公开性使得容易掌握代码的缺陷，进一步利用代码缺陷触发条件改变智能合约执行结果，使得项目存在巨大的经济隐患。所以智能合约代码的开源性需要代码的高可靠性，这种可靠性要求100%的正确。

但是，对于程序员来说，写一个完全没有漏洞的代码实在是太难了，即使采取了所有可能的措施，在复杂的软件中也总会出现没有预料到的漏洞。所以，代码审计的重要性不言而喻。代码审计，顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

代码审计对于的发展具有重要意义：一方面，代码审计可以节约安全投入，降低成本。研究表明，当应用发布后再执行代码成本大约是设计编码阶段的30倍。所以，变被动防护为主动防御，从源头上控制安全隐患，可以节约成本；另一方面，代码审计可以降低系统安全风险。通过代码审计及时对代码层缺陷进行从而大幅度提升系统整体安全性，避免巨额经济损失。