【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员

这篇具有很好参考价值的文章主要介绍了【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员

背景-区块链安全

为什么智能合约安全审计如此重要
参考URL: https://www.jinse.com/news/blockchain/1666661.html

区块链领域正在以非常快的速度发展。针对智能合约的攻击事件频频发生,不法分子盗取的加密资产越来越多。

各式各样的黑客攻击事件,相信给大家都敲响了安全的警钟,也不断的提醒大家智能合约审计的重要性和必要性。

区块链行业一直以来对于不法分子来说都是一块诱惑力巨大的蛋糕,不管是底链、交易所、钱包还是上线已久的项目,或者刚上线的新项目,不法分子们都在虎视眈眈,暗地不停发起攻击,一旦找到漏洞,这些人就会毫不留情的将资金最大程度的掏空盗走,给项目方、交易所、钱包以及用户造成巨大的经济损失,这些损失往往都是不可挽回的。

一个好的区块链项目首先必须是一个安全优先的项目,否则用户将资产投入到项目里,他们的资产安全就得不到保障,而智能合约的安全就是项目的基础。

关于Bug 赏金

Bug 赏金就像 CTF,但有 2 点不同

您尝试在主网上已部署的项目上查找缺陷,而不是“测试网”智能合约。

如果您发现漏洞或bug,您可以获得大量资金。

智能合约审计有什么补偿?

我不是这方面的专家,但我想说审计员的每小时费率大致是:

初级:100 美元/小时
有经验的:100 − 250 -250 250/h
顶级审计员:250 − 1000 -1000 1000/h

我将薪酬分为两类:

  • 固定:您的工作获得固定(小时)工资
  • 基于技能:您发现的错误越多或严重程度越高,您的补偿就越大。

如果您是初级人员,我建议您加入审计公司。
请注意,顶级漏洞赏金猎人因为关键漏洞获取数百万美元更多收入。

什么是Code4rena(或C4)

官网: https://code4rena.com/
官方文档:https://docs.code4rena.com/

Web3安全性,按需。

  • $5MM的奖励支付
  • 发现500多个高度严重性漏洞
  • 在48小时内开始你的审计:http://bio.link/code4rena

使用C4做审计的项目都有哪些

code4rena,区块链,# 智能合同漏洞,安全相关,智能合约审计
最近的zksync,宣布使用C4审计:
code4rena,区块链,# 智能合同漏洞,安全相关,智能合约审计

Today we’re kicking off an audit contest with @code4rena. Contests and bounties are an important part of helping to secure the network, and we look forward to the community’s contributions to make zkSync 2.0 the #1 choice for developers.

Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…

如何开始C4

我们以zksync为例:Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…

查看某个项目参与的说明,如:
code4rena,区块链,# 智能合同漏洞,安全相关,智能合约审计
奖池总共 16.55w $ ,开始时间 10月28结束时间11月9号

它显示了目前已知公开的issue
code4rena,区块链,# 智能合同漏洞,安全相关,智能合约审计
C4 Wardens的注意:C4UDIT输出中包含的任何内容都是公开已知的问题,并且不符合奖励。

接下来它会对自己的项目、名词,以及具体的合约做一些讲解。并且列出了自己的所有合约:

  • L1 Smart contracts
    zkSync
    Other
  • L2 contracts
    Bridges
    Other
    code4rena,区块链,# 智能合同漏洞,安全相关,智能合约审计

如何成为智能合约审计员

原文链接: https://cmichel.io/how-to-become-a-smart-contract-auditor/

推荐阅读原文,这里列出框架:

  • 学习编程

  • 学习 ETH 区块链和 Solidity 基础知识
    学习一门新语言的最快方法是在实践中使用它,通过在其中编写代码 - 只阅读文档不会使知识巩固(并且出于某种原因,即使经过这么多年我仍然发现 Solidity 文档令人困惑和非结构化)。没有比解决 CTF 更好的方法来结合学习 Solidity 和了解 ETH 安全性。

CTF(夺旗/战争游戏)是存在易受攻击代码的安全挑战,您需要编写智能合约来利用该漏洞。

  • 熟悉最常用的智能合约
    在您的审计生涯中,您会一遍又一遍地看到某些合约、模式甚至算法。熟悉它们并深入了解它们的工作原理和细微差别是很好的。

  • 学习金融基础知识
    有时你在审计一个使用大量传统金融术语的 DeFi 项目时,你什么都不懂。当您查找这些术语时,您会得到引用更多您不知道的术语的定义。因此,我发现学习一门不做任何假设的基础金融课程真的很有帮助,它实际上解释了人们为什么要使用这种特定金融工具的意图。

  • 获得真实体验
    mmunefi 上的错误赏金或Code4rena 上的审计竞赛。这里最大的优势是它们是未经许可的。您可以匿名,无需通过工作面试,薪酬完全取决于技能。如果您想申请审计公司职位,收到实际的bug赏金是一个很好的补充。

参考

Indexed Finance被盗事件始末:18岁数学奇才攻陷DeFi平台
参考URL: https://www.qklw.com/news/20221002/269283.html文章来源地址https://www.toymoban.com/news/detail-604240.html

到了这里,关于【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【论文笔记06】智能合约的合约安全和隐私安全研究综述

    计算机学报 原文作者: 胡甜媛 李泽成 李必信 包骐豪* 原文标题: 智能合约的合约安全和隐私安全研究综述* 原文链接: 智能合约的合约安全和隐私安全研究综述 - 中国知网 原文来源: 计算机学报 笔记作者:quangaoyuan 笔记小编:quangaoyu an 区块链;智能合约;合约安全;

    2024年02月06日
    浏览(51)
  • 智能合约安全——delegatecall (1)

    在之前的内容中,学习到了storage中是使用插槽存储数据的。而 delegatecall 函数有个有趣的特点 : 当使用 delegatecall 函数进行外部调用涉及到 storage 变量的修改时是根据插槽位置来修改的而不是变量名 。 举个例子:

    2024年02月01日
    浏览(30)
  • 智能合约 -- 安全考量

    就是我们写代码是考虑这种涉及到合约安全的问题:下面这个方面写合约是重点考虑。 创建消息发送以太币 : 1.要创建消息发送以太币,您需要构建一个有效的交易,并将其发送到 以太坊网络 中。 2.交易被发送到以太坊网络后,会经过 矿工的验证和打包 ,并添加到区块链中

    2024年02月16日
    浏览(32)
  • 智能合约开发~~安全性

    最低安全限度: ~ 所有代码应该被存在于一个版本控制系统当中,例如 git ~ 所有的代码修改都应该通过拉取请求来进行 ~ 所有的拉取请求都应该有至少一个审核员。 如果这是一个个人项目,请考虑寻找另一位个人作者和一个交易代码审核员。 ~ 使用开发以太坊环境(请参阅

    2024年01月17日
    浏览(42)
  • 智能合约安全分析,针对 ERC777 任意调用合约 Hook 攻击

    Safful发现了一个有趣的错误,有可能成为一些 DeFi 项目的攻击媒介。这个错误尤其与著名的 ERC777 代币标准有关。此外,它不仅仅是众所周知的黑客中常见的简单的重入问题。 这篇文章对 ERC777 进行了全面的解释,涵盖了所有必要的细节。深入研究 ERC777 代币的具体细节的资源

    2024年02月04日
    浏览(39)
  • 智能合约安全之重入攻击浅析

    概述:     重入攻击是由于智能合约调用了外部不安全合约,或者对外发送以太币,使得合约的外部调用能够被劫持,导致合约内的方法被外部合约递归调用 形成重入攻击有如下条件:     1、调用了外部不安全合约     2、使用了不安全的转账方式,未进行gas限制。    

    2024年02月07日
    浏览(42)
  • 智能合约安全漏洞与解决方案

    使用OpenZeppelin安全库,防止了数字溢出漏洞攻击,报出了SafeMath错误: 不安全写法:lockTime[msg.sender] += _secondsToIncrease; 安全写法:    lockTime[msg.sender] = lockTime[msg.sender].add(_secondsToIncrease); 整数溢出真实案例: 2018年4月22日,黑客利用以太坊ERC-20智能合约中数据溢出的漏洞攻击蔡

    2024年02月03日
    浏览(53)
  • Solidity智能合约安全指南:预防已知攻击的关键.

    账户类型 创建成本 交易发起 使用场景 作用 外部账户(私钥的所有者控制) 创建账户是免费的 可以自主发起交易 外部所有的账户之间只能进行ETH和代币交易 1、接受、持有和发送ETH 和 token 2、与已部署的智能合约进行交互 合约账户(由代码控制,部署在网络上的智能合约

    2024年02月12日
    浏览(53)
  • 智能合约安全,著名的区块链漏洞:双花攻击

    区块链技术通过提供去中心化和透明的系统彻底改变了各个行业。 但是,与任何技术一样,它也不能免受漏洞的影响。一个值得注意的漏洞是双花攻击。 在本文中,我们将深入研究双花攻击的复杂性,探讨其工作原理、开发方法、预防措施及其对区块链生态系统的影响。 区

    2024年02月04日
    浏览(57)
  • [区块链安全-CTF Protocol]区块链智能合约安全实战(已完结)

    这次是尝试CTF-PROTOCOL的题目,望与诸君共勉。后面应该会参考DeFiHackLabs推出对一些列攻击的POC手写和解析,同时还要参加Hackathon。大家一起努力! 题目分析: HiddenKittyCat 合约中,核心部分为: 可以知道kitty存储的位置是由 keccak256(abi.encodePacked(block.timestamp, blockhash(block.number

    2024年02月15日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包