m o c . 5 h t i g b u 1 m o c . 5 b u h t i g @2020 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印, 或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信 息获取、非商业用途;(b) 本文内容不得篡改; (c)本文不得转发;(d)该商标、版权或其他声明不得 删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云 安全联盟大中华区。 2 致谢 云安全联盟大中华区(简称:CSA GCR)区块链安全工作组在 2020 年 2 月份成立。 由黄连金担任工作组组长,9 位领军人分别担任 9 个项目小组组长,分别有:知道创宇 创始人&CEO 赵伟领衔数字钱包安全小组,北大信息科学技术学院区块链研究中心主任 陈钟领衔共识算法安全小组,赛博英杰创始人&董事长谭晓生领衔交易所安全小组,安 比实验室创始人郭宇领衔智能合约安全小组,世界银行首席信息安全架构师张志军领衔 Dapp 安全小组,元界 DNA 创始人兼 CEO 初夏虎领衔去中心化数字身份安全小组,北理 工教授祝烈煌领衔网络层安全小组,武汉大学教授陈晶领衔数据层安全小组,零时科技 m o c . 5 CEO 邓永凯领衔 AML 技术与安全小组。 区块链安全工作组现有 100 多位安全专家们,分别来自中国电子学会、耶鲁大学、 北京大学、北京理工大学、世界银行、中国金融认证中心、华为、腾讯、知道创宇、慢 雾科技、启明星辰、天融信、联想、OPPO、零时科技、普华永道、安永、阿斯利康等六 b u 十多家单位。 h t i g 本白皮书主要由 DApp 安全小组专家撰写,并由 DApp 安全小组及区块链数据安全 和数字钱包工作组的专家共同审核,感谢以下专家的贡献: 本白皮书贡献者名单:陈晶,黄连金,李岩,马红杰,王登辉,姚昌林,张志军, 周庆松(按照字母排序) 贡献单位:知道创宇,武汉大学 关于研究工作组的更多介绍,请在 CSA 大中华区官网(https://c-csa.cn/research/) 上查看。 如本白皮书有不妥当之处,敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱: info@c-csa.cn; 云安全联盟 CSA 公众号: 3 序言 去中心化应用(即 Decentralized Application,以下简称 DApp)作为区块链的重要实 现载体。DApp 继承了传统应用的优势,结合区块链的特点,极大地扩展了区块链的应 用场景与现实意义。DApp 可以被广泛地应用于金融(DeFi)、游戏、保险、物联网、共享 经济、人工智能等多个领域。 但同时也面临着严重的安全风险,例如:2019 年 EOS DApp 安全成为重灾之地,截 止 2019 年 5 月被盗 EOS 达到 93 万。相比于普通应用程序而言,DApp 的安全性不仅影 m o c . 5 响参与多方的公平性,还影响 DApp 所管理的庞大数字资产的安全性。因此对 DApp 的 安全性及相关安全漏洞开展研究显得尤为重要。 CSA GCR 对于 DApp 的安全进行系统化研究,从不同的角度去分析 DApp 的安全。 根据 2020 年初统计,DApps 应用中最受欢迎的是 DeFi,本文针对 DeFi 的安全应用场景 b u 进行了重点分析。 h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟大中华区-版权所有 4 目录 致谢............................................................................................................................................ 3 序言............................................................................................................................................ 4 1. DApp 与安全概述................................................................................................................. 6 1.1 DApp 概述..................................................................................................................... 6 1.2 DApp 安全简介............................................................................................................. 7 1.3 DApp 安全攻防............................................................................................................. 8 2. DeFi 的安全......................................................................................................................... 8 2.1 DeFi 概述..................................................................................................................... 8 m o c . 5 2.2 DeFi 的功能特性......................................................................................................... 9 2.3 DeFi 的生态堆载....................................................................................................... 11 2.4 DeFi 项目的安全概述............................................................................................... 12 2.5 DeFi 的智能合约安全案例分析............................................................................... 14 b u 2.6 DeFi 通证经济设计方面的安全案例分析............................................................... 26 2.7 DeFi 监管安全的案例分析....................................................................................... 32 h t i g 3. DApp 安全测试建议与工具............................................................................................... 34 3.1 安全架构分析............................................................................................................ 34 3.2 静态代码扫描............................................................................................................ 35 3.3 动态应用扫描............................................................................................................. 36 3.4 手工渗透测试............................................................................................................. 37 3.5 生产环境中的测试与追踪......................................................................................... 37 3.6 针对智能合约的安全测试工具................................................................................ 38 4. DApp 安全最佳实践与案例............................................................................................... 39 4.1 DApp 的基本架构....................................................................................................... 39 4.2 安全开发与测试的要点............................................................................................. 40 4.3 DApp 开发采用 DevSecOps 流程.....................
CSA DApp安全指南
文档预览
中文文档
44 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共44页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-06 02:49:29上传分享