通付盾发布2021年Q1智能合约安全态势感知报告，携手OWASP线上解析“智能合约安全”

    【CPS中安网 cps.com.cn】2021年4月11日，通付盾携手OWASP中国，举行“智能合约安全”线上直播分享，来自通付盾SharkTeam团队安全专家为大家解析智能合约安全攻与防，并发布了《通付盾2021年Q1智能合约安全态势感知报告》（以下简称‘报告’）。这是通付盾首次以报告形式，面对日益突出的区块链安全问题，及以太坊智能合约漏洞不断增多的现状，向公众作出的总结性披露。

智能合约这一概念最早由计算机学家和法学家尼克·萨博在20世纪90年代提出,作为区块链系统的重要组成部分，智能合约极大地扩展了区块链的应用场景与现实意义。相比于普通的程序,智能合约更容易成为攻击者的目标，一方面,对智能合约的攻击有更高的经济价值，已成为近年来安全事件的高发地;而更为重要的是,引入智能合约的初衷在于借助区块链的特性来保证合约的可信赖,而智能合约漏洞会使得合约出现非预期的行为,从而可能使其变为一份“不平等合约”,从而失去了智能合约的意义。一次又一次的安全事件表明,智能合约的安全形势十分严峻，对于智能合约安全的审计和保护也十分迫切。

作为国内最早布局智能合约审计的安全团队，通付盾SharkTeam团队一直致力于区块链安全的研发工作，历经数年沉淀，在去中心数字身份认证、区块链密码、智能合约安全等方向，团队积累了大量的安全经验，并在此次报告中体现。

报告中，通付盾区块链安全团队（SharkTeam）选取了主流的41个以太坊区块链项目，并对覆盖高级语言层、虚拟机层、区块链层、业务逻辑层的75项常见安全问题进行了自动化安全扫描，共计发现安全问题2192项。针对所发现的安全问题，报告从漏洞位置分布、危害等级分布、典型安全事件、攻击原理分析、安全防范技术等维度对这些安全风险和防范手段进行全面的分析，帮助开发者有效保障智能合约安全。

此外，通付盾还对智能合约的安全进行系统化研究，从系统性安全的角度去分析智能合约的安全问题，并提出了智能合约安全的四层威胁模型,即来自于高级语言、虚拟机、区块链、业务逻辑四个层面100多类智能合约安全漏洞，构建智能合约安全漏洞库，为智能合约安全问题进行漏洞编号（TVE：Tongfudun Smart Contract Vulnerabilities & Exposures），并为开发者和用户提供专业的安全修复建议。

项目开发团队可参考通付盾区块链安全团队的安全建议，完善合约开发和发布流程，从设计、开发、测试、审计到部署、监控、应急响应，保护智能合约全生命周期安全。

关于通付盾SharkTeam：

通付盾区块链安全团队（SharkTeam）专注于智能合约安全，由拥有多年一线网络安全实战经验的团队成员组成，精通区块链和智能合约底层原理，具备完善的区块链漏洞挖掘和智能合约审计能力，可提供全面的威胁建模、合约审计、应急响应服务，已帮助多个知名区块链项目发现并修复安全漏洞，致力于保护用户数字资产安全与隐私安全。

" In Math，We Trust ！"

关于OWASP中国：

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。目前OWASP全球拥有250个分部近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。