新書推薦:
《
海外中国研究·中国早期的星象学和天文学
》
售價:HK$
152.9
《
诡计策划师 午夜文库
》
售價:HK$
53.9
《
管道的力量(畅销美国30年的财富经典,销量超100万册)
》
售價:HK$
54.8
《
长安曾有少年郎
》
售價:HK$
43.8
《
何以为园:中国江南古典私家园林的经济解释
》
售價:HK$
74.8
《
漫画图解博弈论:段位经商谋略之道 赢家是怎样炼成的
》
售價:HK$
43.8
《
斯坦福高中校长给父母的6堂课
》
售價:HK$
87.9
《
人间来过:百岁医师的人生处方
》
售價:HK$
53.9
|
編輯推薦: |
从初学者视角出发,由浅入深、内容详尽地介绍了区块链技术、以太坊智能合约及其安全性问题,帮助读者对智能合约安全建立充分的认识,在开发和审计过程中发现和识别常见漏洞
|
內容簡介: |
智能合约是近年来出现的一种旨在以信息化方式传播、验证、执行合同的计算机协议。尽管可编程的区块链为去中心化的概念在生活中的应用创造了无限可能,但区块链项目的大规模落地与推广仍面临一系列挑战。本书秉承由浅入深、理论与实践相结合的思想,在阐述理论的同时,也对相关操作进行了详细说明。相信读者在阅读完本书后,会对以太坊智能合约有比较完整的了解,更重要的是,会对与以太坊智能合约相关的网络安全问题有充分的认识,并能够在开发和审计过程中积极应对常见的网络安全问题。本书适合智能合约开发人员、智能合约审计人员、网络安全研究人员,以及对区块链、智能合约感兴趣的读者阅读。
|
關於作者: |
王艺卓 id:Xrosheart,现就读于上海交通大学网络空间安全学院。现于Loccs实验室区块链研究小组与看雪区块链安全小组从事区块链领域研究,在以太坊智能合约安全方面有相关论文在投与专利申请。陈佳林,看雪论坛『iOS安全』版主roysue,看雪讲师,在移动安全领域项目经验丰富;多次主持参加银行、电信、政府以及行业部门培训及参与安全项目,具有充实丰富的实战经验;在看雪、freebuf、安全客等安全社区发表多篇精华文章,在看雪2017安全开发者峰会、GeekPwn发表主题演讲;目前就职于看雪科技,负责移动安全、区块链等领域研究;王鑫 id: dwfault,现于启明星辰ADLab团队任安全研究员。主要研究方向为区块链、Web浏览器等软件系统的漏洞分析、漏洞挖掘,在上述领域获得若干CVE漏洞编号和厂商致谢。何芷珊 id:CoralineH 毕业于上海交通大学电子信息与电气工程学院信息安全专业。研究区块链、人工智能对抗、ICN等。
|
目錄:
|
第1章 由浅入深理解区块链
1.1 区块链简介1
1.2 区块链1.0 比特币,一种点对点的现金支付系统1
1.2.1 比特币的产生1
1.2.2 深入分析比特币的工作机制5
1.2.3 结合《比特币白皮书》理解比特币9
1.2.4 比特币的回顾与剖析13
1.2.5 比特币的不足16
1.3 区块链2.0 以太坊18
1.3.1 以太坊的产生18
1.3.2 深入理解以太坊18
1.4 区块链3.0 DApp25
1.5 基于以太坊的智能合约入门25
1.5.1 智能合约的结构26
1.5.2 EOS上的智能合约及其与以太坊的对比27
第2章 智能合约开发实战
2.1 以太坊网络29
2.2 私有链的搭建30
2.2.1 geth简介30
2.2.2 geth的安装与配置31
2.2.3 geth的操作及相关说明33
2.2.4 以太坊中的账户与密钥39
2.2.5 查看以太坊网络的状态40
2.3 Mist和Ethereum Wallet的安装、配置与操作42
2.3.1 下载与安装42
2.3.2 通过Ethereum Wallet连接本地私有库42
2.3.3 用Mist实现多重签名45
2.4 以太坊智能合约开发实战52
2.4.1 开发环境52
2.4.2 编写第一个智能合约54
2.5 ERC-20 Token合约58
2.5.1 Token合约概述58
2.5.2 ERC-20 Token合约详解60
2.5.3 对ERC-20 Token合约的进一步说明61
2.6 本章小结63
第3章 智能合约语法实战
3.1 造就骨架建立合约框架64
3.2 初添血肉添加状态变量66
3.2.1 数据类型简介66
3.2.2 添加uint类型的变量67
3.2.3 添加结构体67
3.2.4 添加数组68
3.3 再添经脉添加函数70
3.3.1 添加一个简单的函数70
3.3.2 添加一个复杂的函数72
3.3.3 特别的函数回退函数75
3.4 与外界交互添加事件80
3.5 大脑的沟通多用户拓展82
3.5.1 神经的连接映射和地址82
3.5.2 神经的传输msg.sender85
3.5.3 神经兴奋的判别require方法87
3.5.4 生命的传承Inheritance87
3.5.5 血液里的本能猎食和繁殖90
3.5.6 DNA的融合91
3.5.7 各司其职的隐私关于函数可见性的更多内容92
3.5.8 同化作用合约交互93
3.5.9 同化作用的结果获得奖励98
3.6 高级Solidity理论100
3.6.1 外部依赖关系100
3.6.2 权限的产生Ownable Contracts101
3.6.3 权限的确认函数修饰符onlyOwner105
3.6.4 运转的动力gas107
3.7 Truffle的介绍与安装108
3.8 创建、部署、使用Token合约110
3.8.1 Truffle的box和OpenZeppelin110
3.8.2 安装tutorialtoken box和OpenZeppelin111
3.8.3 创建TutorialToken合约112
3.8.4 合约的编译与部署114
3.8.5 合约操作与实践116
3.9 创建、部署、使用ICO合约121
3.9.1 ICO简介121
3.9.2 创建ICO合约122
3.9.3 ICO合约的编译与部署125
3.9.4 ICO合约的操作实践130
3.10 本章小结131
第4章 智能合约常见漏洞
4.1 智能合约审计指南132
4.1.1 智能合约审计概述132
4.1.2 智能合约审计报告的结构132
4.2 整型溢出漏洞133
4.2.1 漏洞概述133
4.2.2 代码片段133
4.2.3 漏洞分析与调试134
4.2.4 相关案例139
4.2.5 规避整型溢出的神器SafeMath库140
4.3 重入漏洞141
4.3.1 漏洞概述141
4.3.2 代码片段148
4.3.3 漏洞分析、调试与防范149
4.3.4 相关案例155
4.4 访问控制缺陷155
4.4.1 漏洞概述155
4.4.2 代码片段156
4.4.3 漏洞分析、调试与防范157
4.4.4 相关案例162
4.5 特权功能暴露162
4.5.1 漏洞概述162
4.5.2 代码片段163
4.5.3 漏洞分析、调试与防范163
4.5.4 相关案例170
4.6 跨合约调用漏洞170
4.6.1 漏洞概述170
4.6.2 代码片段172
4.6.3 漏洞分析、调试与防范173
4.6.4 相关案例176
4.7 拒绝服务漏洞177
4.7.1 漏洞概述177
4.7.2 代码片段177
4.7.3 漏洞分析、调试与防范178
4.7.4 相关案例185
4.8 矿工特权隐患185
4.8.1 漏洞概述185
4.8.2 代码片段185
4.8.3 漏洞分析与防范186
4.8.4 相关案例187
4.9 短地址攻击187
4.9.1 漏洞概述187
4.9.2 代码片段189
4.9.3 漏洞分析、调试与防范190
4.10 tx.origin漏洞195
4.10.1 漏洞概述195
4.10.2 代码片段195
4.10.3 漏洞分析、调试与防范195
4.11 本章小结199
第5章 智能合约蜜罐
5.1 智能合约蜜罐概述201
5.2 WhaleGiveaway1201
5.2.1 蜜罐分析201
5.2.2 代码复现203
5.3 Gift_1_ETH207
5.3.1 蜜罐分析207
5.3.2 代码复现210
5.4 MultiplicatorX3213
5.4.1 蜜罐分析213
5.4.2 代码复现215
5.5 TestBank217
5.5.1 蜜罐分析217
5.5.2 代码复现221
5.6 CryptoRoulette223
5.6.1 蜜罐分析223
5.6.2 代码复现225
5.7 OpenAddressLottery226
5.7.1 蜜罐分析226
5.7.2 代码复现229
5.8 KingOfTheHill231
5.8.1 蜜罐分析231
5.8.2 代码复现233
5.9 RACEFORETH235
5.10 For_Test237
5.10.1 蜜罐分析237
5.10.2 代码复现239
5.11 DividendDistributor240
5.11.1 蜜罐分析240
5.11.2 代码复现244
5.12 与智能合约蜜罐相关的安全建议246
5.13 本章小结246
第6章 常见智能合约分析与审计工具
6.1 智能合约分析工具Solgraph247
6.1.1 Solgraph简介247
6.1.2 Solgraph的安装与使用248
6.2 智能合约审计工具mythril250
6.2.1 mythril的安装251
6.2.2 mythril的使用与功能说明252
6.3 智能合约审计平台SECURIFY257
6.3.1 SECURIFY概述257
6.3.2 SECURIFY系统探究259
6.3.3 SECURIFY的使用261
第7章 智能合约审计实战
7.1 智能合约审计清单264
7.2 博彩游戏合约审计265
7.2.1 合约代码与合约功能浏览265
7.2.2 审计报告268
7.3 CryptoKitties合约审计274
7.4 本章小结277
第8章 智能合约字节码解构
8.1 打开引擎盖智能合约下的字节码278
8.2 解构第一步creation282
8.3 解构第二步runtime291
8.3.1 函数选择器292
8.3.2 函数包装器295
8.3.3 函数主体301
8.3.4 元数据散列305
8.4 本章小结309
参考文献310
|
內容試閱:
|
序
比特币作为一种新型加密货币,其出现使得区块链去中心化的概念成为密码学研究的热点方向。去中心化本身,则是金融领域现有机制的有益补充,甚至是一大突破。以以太坊为代表的区块链2.0,作为可编程的区块链去中心化平台,其EVM及智能合约的创举,为去中心化在金融、日常生活等领域创造了无限可能。在一个良好的生态环境中,区块链正在茁壮成长。
尽管可编程的区块链为去中心化的概念在现实生活中的应用创造了无限可能,但区块链项目的大规模落地与推广仍面临一系列挑战。除了容量、延迟、拓展性等性能方面的问题,一大制约因素就是区块链的安全问题。一方面,区块链本身的共识机制需要从安全性的角度加以证明;另一方面,自区块链2.0出现以来,由于区块链部署的不可更改性,智能合约本身的安全受到了密切关注,DAO等由于智能合约漏洞造成巨大损失乃至以太坊硬分叉的安全事件,更是将智能合约的安全问题提到了新的高度。
区块链作为当下的热点领域,应用日趋广泛,未来的发展需要安全人才保驾护航。看雪学院(kanxue.com)专注安全领域20年,一直致力于培养安全人才、促进产业发展。对于区块链领域,看雪学院也为众多研究者提供了交流、研讨的平台。本书针对区块链2.0以太坊,着眼于智能合约安全,进行了深入的分析与探讨,相信对于区块链设计、开发人员,以及未来有志从事区块链领域工作的人士,都会有很大的帮助。
段 钢
看雪学院创始人
2019年5月9日
前言
区块链作为一种去中心化的分布式数据存储结构,以数字加密货币为源头发展至今,在商业、金融、信息等多个领域发挥着重要的作用并受到了普遍的认可,在学术界和产业界掀起了潮流。据相关报道,2019年5月,区块链的总市值达到2300亿美元。
以太坊是仅次于比特币的第二大区块链系统。以太坊智能合约的链上编程语言使其不仅仅是一种加密货币,还是一个基于智能合约的去中心化应用程序(DApp)平台。2018年年底,以太坊已经托管了超过100万份智能合约。截至2019年5月,在全球范围内2667个成熟且活跃的分布式应用中,约有92% 来自以太坊平台。
与比特币的脚本相比,以太坊智能合约作为图灵完备的语言,在拥有功能更为强大、更具拓展性等优势的同时,也因其复杂性产生了诸多安全问题。一方面,由于智能合约编程语言Solidity本身缺乏大整数等特性,需要开发人员在编写过程中注重代码的安全性、完整性;另一方面,由于区块链本身的不可更改性,存在漏洞的合约一旦部署上链,就会造成不可逆的损失。以著名的DAO攻击事件为例,黑客利用智能合约中的重入漏洞转移了价值约6000万美元的以太币,导致以太币的市值一度下跌了40%。因此,如何保障智能合约的安全性成了区块链落地的关键。
在本书的写作过程中,我们秉承由浅入深、理论与实践相结合的思想,在阐述理论的同时,对实际操作进行了详细说明。
第1章对区块链的发展历程进行了由浅入深的介绍。借助一个故事,结合经典的《比特币白皮书》,梳理了区块链1.0~区块链3.0的框架,并对以太坊及其智能合约进行了简单的探讨。
第2章旨在将区块链和以太坊的概念与实现对应起来。结合实践,对常用的以太坊客户端geth、钱包、浏览器等应用的操作进行讲解,既提供了命令行环境,也展示了图形界面。
第3章将智能合约的语法、操作、应用融为一体,不仅介绍了智能合约的语法特性,还详细讲解了如何利用Truffle实现代币合约和众筹合约。
第4章对智能合约的常见漏洞及其原理进行了分析,在Remix IDE中对漏洞的代码进行了调试,并针对每一个漏洞给出了相应的防范建议。
第5章介绍了常见的智能合约蜜罐,结合原理讲解和复现操作,提供了相应的安全建议。
第6章对现有智能合约分析与审计工具的使用进行了说明。
第7章介绍了智能合约的审计流程,并提供了审计案例。
第8章深入以太坊虚拟机的运行机制,介绍了智能合约是如何部署和执行的。
相信读者在阅读完本书后,会对以太坊智能合约有较为完整的了解,更重要的是,会对以太坊智能合约的安全问题有更加充分的认识,能够在开发和审计过程中发现并识别常见的漏洞和蜜罐。本书覆盖面虽广,但内容由浅入深、通俗易懂,同时不乏深度的思考。例如,智能合约审计工具的研发是研究的热点,智能合约字节码的解构能力是在以太坊上进行开发的敲门砖。
在本书的编写过程中,我们得到了来自家人、同事、朋友及看雪区块链研究社区的支持和鼓励,在此表示感谢!
最后,希望本书能为推动区块链的落地和技术的进步作出微薄的贡献。
作 者
2019年6月于上海
|
|