慢雾科技发布「Cosmos 应用链安全审计服务」

数字货币领域正在经历前所未有的机遇与挑战，其中一个挑战是日益增长的黑客攻击事件。和传统软件工程不一样的在于，区块链底层项目几乎是个全新的场景，包括安全在内的许多基础设施都在发展完善中。在全球范围内，区块链底层项目普遍缺乏国家力量的监管与背书，一旦发生黑客攻击事件，由于去中心化特性，溯源变得更加困难。

根据“SlowMist Hacked”(https://hacked.slowmist.io) 的统计数据，历史上有数十个区块链底层项目公开披露遭遇到攻击，累计造成的损失达数千万美金，并且从 2017 年以来攻击的趋势愈发显著，众多明星项目遭受攻击后产生巨大的负面影响。

慢雾安全团队对比特币、以太坊、门罗币等公链拥有丰富的安全研究经验，在 P2P 通信、RPC 调用、密码学组件、共识机制、资产交易等关键模块的安全上拥有深厚的积累，曾对外披露以太坊黑色情人节等全球性安全攻击大事件，还曾对外开放了 EOS 超级节点安全执行指南、唯链核心节点安全执行指南、本体北斗共识集群安全执行指南，在公链安全架构方案方面具备强大的领先优势。

目前，慢雾科技已为 30 多家公链项目提供了安全审计服务，保障着众多公链的安全、可持续发展。在服务过程中我们发现，基于 Cosmos SDK 开发的链（简称：Cosmos 应用链）存在许多独特的安全风险，如果没有对 Cosmos SDK 各模块进行深入研究，可能会踩坑导致遭受攻击带来损失。

慢雾安全团队对 Cosmos SDK 进行了全面、深入的安全研究及攻防实战，结合在比特币、以太坊、EOS 等公链上积累的安全研究经验，我们总结了一份针对 Cosmos 应用链的安全审计方案。

1. 审计标准

《慢雾智能合约安全审计方案》

https://slowmist.com/service-smart-contract-security-audit.html

2. 审计方法

黑盒：站在外部从攻击者角度进行安全测试

灰盒：假设攻击者已经获得出块节点控制权时的安全测试，需要项目方紧密配合

白盒：基于开源、未开源代码，对节点、SDK 等程序进行漏洞挖掘

慢雾安全团队将采用“黑灰为主，白盒为辅”的策略，以最贴近真实攻击的方式，对项目方进行完整的安全测试。

3. 审计项威胁等级分类标准

I. 漏洞

a) 严重

b) 高危

c) 中危

d) 低危

II. 弱点

指此时此刻的场景下没法被攻击者直接利用，但可能在未来某个时刻或场景被利用造成损失。

III. 增强

指现在及未来没法被攻击者利用，但从安全角度建议优化的。

4. 应用场景

解决常见的安全漏洞

规避可能出现的安全风险

增强公链在未来持续发展中的健壮性

欢迎点击https://www.slowmist.com/service-blockchain-security-audit.html 查看慢雾科技「Cosmos 应用链安全审计服务」详细介绍，有审计需求的项目方欢迎联系慢雾安全团队邮箱[email protected]沟通审计合作。

—-

编译者/作者：慢雾科技

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。