付费视频,请购买课程( ¥2,000.00 )后再观看

合约安全:合约审计与监控

17次播放
19小时前

视频 AI 总结: 视频详细阐述了智能合约从开发到上线后的完整安全生命周期。核心内容包括:开发后的代码审计,强调文档、静态/动态分析工具、人工审查及审计报告的重要性;上线后的合约运行监控,涵盖大额资金变动、关键参数修改等,并介绍了Tenderly、Chainlink Automation等第三方服务;以及事故发生后的分析与响应,包括资金流向追踪(交易所、混币器)和交易重放。此外,视频还扩展讨论了链上安全随机数(Chainlink VRF)和链下数据获取(Chainlink Functions)的解决方案,并提及AI在安全流程中的应用。

关键信息:

  1. 智能合约安全是一个过程:涵盖开发、审计、部署、监控和事故分析等多个阶段。
  2. 代码审计
    • 强调提供清晰的文档(项目目的、角色权限、外部依赖、潜在攻击面)。
    • 审计费用通常按代码行数计算,代码规范性很重要。
    • 审计工具包括静态分析(如Slither, Mythril)和动态分析(如Fuzzing)。
    • 人工审查仍是必不可少的,AI无法发现所有问题。
    • 审计报告会列出并分级(高、中、低、信息)所有发现的问题,项目方需根据报告进行修改并重新提交审查。
  3. 合约运行监控
    • 需及时知晓并处理问题,监控关键指标如大额资金转移、关键参数修改。
    • 监控方式可自建或使用第三方服务(如Tenderly的Webhook)。
    • 自动化响应:通过脚本或第三方自动化服务(如Chainlink Automation, Gelato, Tenderly Web3 Actions)实现。
    • Chainlink Automation通过checkUpkeep函数判断条件,满足时触发performUpkeep执行链上操作,支持条件触发和日志触发。
  4. 事故分析与响应
    • 分析资金流向:追踪被盗资金去向,如交易所(可配合警方调查)或混币器(如Tornado Cash,通过ZK证明使追踪困难)。
    • 交易重放:使用工具(如cast run)在本地重放攻击交易,分析执行细节和漏洞原因。
    • 分析攻击来源:追踪攻击者Gas费用的来源,可能有助于识别身份。
  5. 扩展安全解决方案
    • 安全随机数:链上数据易被操纵。Chainlink VRF(Verifiable Random Function)提供不可预测、可验证、防篡改的链上随机数,通过节点私钥和用户种子生成,确保公平性。
    • 链下数据获取:智能合约无法直接访问链下数据。Chainlink Functions提供通用框架,允许合约通过Oracle节点执行JavaScript脚本和API请求,获取链下数据并回调至合约。
  6. AI在安全中的应用:AI在测试、初步分析、报告梳理等方面发挥越来越重要的作用,甚至可以作为“中立”的判断依据。