零时科技为雷神公链Thor提供业内权威的安全审计及检测服务
近日,区块链安全生态建设的行业头部公司零时科技宣布,已完成了对雷神公链Thor项目的全面安全审计。
零时科技·安全审计团队于2020年9月20日收到了雷神公链Thor的安全审计申请,至10月15日结束,并出具了权威的安全审计报告。
审计过程中,零时科技·安全审计团队主要对雷神公链Thor的代码合规审计、P2P安全、RPC安全、加密签名安全、账户与交易模型安全、共识账本安全、激励层安全、系统合约安全、静态代码检查、矿机硬件、矿池管理系统和挖矿系统等方面,开展了多维度的安全审计流程,具体审计范围如下:
1、代码合规审计
- 代码相似度审计
- 代码补丁审计
- 线路图审计
- 充值方案审计
2、P2P安全
(覆盖已知攻击形式,例如:日食攻击、女巫攻击、窃听攻击、拒绝服务攻击、验证绕过、BGP 劫持攻击)
- 节点连接数审计
- 节点性能审计
- 消息格式校验
- 消策略审计
- 通信加密审计
- “异形攻击”审计
3、RPC安全
(覆盖已知攻击形式,例如:传统 Web 安全漏洞、黑色情人节漏洞)
- 远程调用权限审计
- 畸形数据请求审计
- 通信加密审计
- 同源策略审计
4、加密签名安全
(覆盖已知攻击形式,例如:穷举攻击、碰撞攻击、长度扩展攻击、密码后门、交易延展性攻击)
- 代码补丁审计
- 随机数生成算法审计
- 密钥存储审计
- 密码学组件调用审计
- 哈希强度审计
- 交易延展性审计
- 加解密模糊测试
5、账户与交易模型安全
(覆盖已知攻击形式,例如:短距离攻击、种族攻击、芬妮攻击、Vector76 攻击、替代历史攻击、假充值攻击)
- 事务校验审计
- 事务重放审计
- “假充值”审计
6、共识账本安全
(覆盖已知攻击形式,例如:长距离攻击、51% 攻击、币龄累计攻击、预计算攻击、时间戳伪造、默克尔树双花、区块双出、区块双签、内存池泛洪攻击)
- 算力安全审计
- 区块校验审计
- 默克尔树审计
- Slash 机制审计
- 内存池策略审计
7、激励层安全
- 预期审计
8、系统合约安全审计
- 参照《智能合约安全审计》
9、应用链安全审计
- 支持基于 Cosmos-SDK、Polkadot/Substrate、Hyperledger、RISC-V 等架构开发的应用链
10、静态代码检查
- 内置函数安全
- 标准库安全审计
- 第三方库安全审计
- 注入审计
- 序列化算法审计
- 内存泄露审计
- 算术运算审计
- 资源消耗审计
- 异常处理审计
- 日志安全审计
审计全程发现的若干高危漏洞及中低危漏洞,均提交项目方并提供修改建议,项目方均完成修复并通过复核,协助项目方增强代码安全性和健壮性,完成完整审计文档交付。
安全建议:
1、开发者应该重视公链中的代码逻辑,严格遵守安全开发规范,避免历史漏洞重现,加强代码安全性。
2、可以代码开源,让更多专业人士和技术团队参与安全审计,获取更多反馈,以便进行代码优化。
3、全面做好项目智能合约安全审计并加强风控策略,联系第三方专业审计团队对代码进行全面的安全审计。
4、对所有员工加强网络安全意识培训,减少因为外部的社会工程学攻击,钓鱼攻击等导致的安全事件。
关于雷神公链Thor:
雷神公链Thor是一个用区块链技术构建“强信任”基础的去中心化、公开透明、高性能高效率的公链网络。通过使用可信芯片解决传统区块链数字货币发行对能源的大量浪费和消耗,智能合约的高性能处理能力极大的提高网络处理速度和交易吞吐量,从而构建一个全新的区块链生态环境。
雷神公链Thor在保留了比特币核心优势的同时,对其货币发行和价值存储逻辑进行了优化,它延续了比特币的正向价值存储模式,加入了独特的双链价值纠缠机制、早期矿工保护机制、以及更加高效的双向价值存储等。
关于零时科技:
零时科技,是一家专注区块链生态应用安全的实战创新型区块链安全企业。提供安全服务包括交易平台安全审计、钱包安全审计、合约安全审计、链安全审计、数字资产监控追溯、数字资产及交易反洗钱等方面。自研产品有合约安全自动化审计、合约防火墙、赏金平台、数字资产及交易AML系统。目前零时科技已为大量区块链生态应用提供安全审计服务,并获得客户的一致好评。